Aqui que les traigo estos artículos técnicos
[=]Serialized SQL Injection (Parte I de VI)
[=]Serialized SQL Injection (Parte II de VI)
[=]Serialized SQL Injection (Parte III de VI)
[=]Serialized SQL Injection (Parte IV de VI)
[=]Serialized SQL Injection (Parte V de VI)
[=]Serialized SQL Injection (Parte VI de VI)
Esta guiá es hecha por http://www.elladodelmal.com, que sabe y mucho de este tema y de otros ya que vive yendo a todas las conferencias que allá.
Herramientas para automatización de inyección SQL
SQL Power Injection Injector:Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.
Principales características:
* Disponible para las plataformas: Windows, Unix y Linux.
* Soporta SSL.
* Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
* Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.
Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/
Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf
SQLMap:Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.
Principales características:
* Al estar escrita en Python es multiplataforma.
* El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
* Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.
Más información y descargar SQLMap :
http://sqlmap.sourceforge.net/
Manuales de SQLMap :
http://sqlmap.sourceforge.net/#docs
SQLNinja: Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.
Principales características:
* Realiza Fingerprint de servidores SQL.
* Realiza ataques de fuerza a bruta a la cuenta del “sa”.
* Utiliza técnicas de evasión de IDS/IPS/WAF.
* Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.
Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/
Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html
WITOOL: Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.
Más información y descarga de WITOOL:
http://witool.sourceforge.net
Evitar “SQL injection” con cortafuegos para base de datos
http://vtroger.blogspot.com/2008/10/evitar-sql-injection-con-cortafuegos.html
Esta guiá es hecha por http://vtroger.blogspot.com, que sabe y mucho de este tema y de otros.
Arithmetic Blind SQL Injection
[=]Arithmetic Blind SQL Injection (I de II)
[=]Arithmetic Blind SQL Injection (II de II)
Esta guiá es hecha por http://www.elladodelmal.com, que sabe y mucho de este tema y de otros ya que vive yendo a todas las conferencias que allá.
Fuente: http://comandante-linux.blogspot.com/2011/03/sql-injection.html
No hay comentarios:
Publicar un comentario