Segurança

Lista das MELHORES FERRAMENTAS SQLi

Lista das MELHORES FERRAMENTAS SQLi
A injeção de SQL, também conhecida como SQLi, é uma técnica na qual aplicativos baseados em dados podem ser atacados por meio de código SQL injetado de forma maliciosa. Os invasores podem acessar, modificar ou destruir bancos de dados usando SQLi. É uma das técnicas mais comuns usadas em Web Hacking.

Embora a injeção de SQL possa ser perigosa, executar diferentes comandos por entrada de página da web para realizar SQLi pode ser uma tarefa muito agitada. Desde a coleta de dados até o desenvolvimento da carga útil certa pode ser um trabalho demorado e, às vezes, frustrante. É aqui que as ferramentas entram em jogo. Existem inúmeras ferramentas disponíveis para testar e explorar diferentes tipos de Injeções SQL. Vamos discutir alguns dos melhores.

Havij:

Havij (que significa cenoura em persa) é uma ferramenta da ITSecTeam, uma empresa de segurança iraniana. É uma ferramenta SQLi habilitada para GUI, totalmente automatizada e suporta uma variedade de técnicas SQLi. Foi desenvolvido para ajudar os testadores de penetração a encontrar vulnerabilidades em páginas da web. É uma ferramenta fácil de usar e também inclui recursos avançados, portanto, é bom para iniciantes e profissionais. Havij também tem uma versão Pro. O empolgante do Havij é a taxa de injeção de 95% de sucesso em alvos vulneráveis. Havij é feito apenas para janelas, mas pode-se usar o Wine para fazê-lo funcionar no Linux. Embora o site oficial do ITSecTeam esteja fora do ar por um longo tempo, Havij e Havij Pro estão disponíveis em muitos sites e GitHub Repos.

BBQSQL:

BBQSQL conhecido como framework de injeção 'Blind SQL' ajuda a resolver problemas quando as ferramentas de exploração disponíveis não funcionam. Escrito em python, é uma espécie de ferramenta semiautomática que permite a personalização até certo ponto para quaisquer descobertas complexas de injeção SQL. BBQSQL faz várias perguntas em uma abordagem baseada em menu e, em seguida, cria a injeção / ataque de acordo com a resposta do usuário. É uma ferramenta muito versátil com interface do usuário integrada para tornar seu uso mais fácil. E o uso de python gevent torna muito rápido. Ele fornece informações sobre cookies, arquivos, autenticação de HTTP, proxies, URL, método HTTP, cabeçalhos, métodos de codificação, comportamento de redirecionamentos, etc. Os requisitos de pré-uso incluem a configuração de parâmetros, opções e, em seguida, configure o ataque conforme necessário. A configuração da ferramenta pode ser alterada para usar uma frequência ou uma técnica de pesquisa binária. Ele também pode determinar se a injeção de SQL funcionou apenas procurando alguns valores específicos nas respostas HTTP do aplicativo. Uma mensagem de erro é exibida pelo banco de dados que reclama sobre a sintaxe incorreta do SQL Query se o invasor explorar com sucesso a injeção SQL. A única diferença entre Blind SQL e injeção normal de SQL é a maneira como os dados estão sendo recuperados do banco de dados.

Instale o BBQSQL:

$ apt-GET install bbqsql

Leviatã:

A palavra Leviatã se refere a uma criatura do mar, demônio do mar ou monstro marinho. A ferramenta tem esse nome devido ao seu recurso de ataque. A ferramenta foi lançada pela primeira vez no Black Hat USA 2017 Arsenal. É uma estrutura que consiste em muitas ferramentas de código aberto, incluindo masscan, ncrack, DSSS, etc, para realizar diferentes ações, incluindo SQLi, exploit personalizado, etc. As ferramentas também podem ser usadas em combinação. É comumente usado para tarefas de teste de penetração, como descobrir máquinas e identificar as vulneráveis, enumerar serviços que funcionam nesses dispositivos e encontrar possibilidades de ataque por meio de simulação de ataque. Ele pode identificar vulnerabilidades em Telnet, SSH, RDP, MYSQL e FTP. Leviathan é altamente proficiente na verificação de vulnerabilidades SQL em URLs. O objetivo básico da ferramenta Leviathan é realizar varreduras massivas em muitos sistemas ao mesmo tempo. A proficiência de verificação de vulnerabilidades SQL torna o leviatã. As dependências necessárias para usar o Leviathan Framework são bs4, shodan, google-API-python-client, lxml, paramiko, solicitações.

Instale o Leviathan:

$ Git clone https: // github.com / leviathan-framework / leviathan.idiota
$ Cd leviathan
Requisitos $ pip install -r.TXT

Janela branca:

Whitewidow é uma ferramenta comumente usada para verificação de vulnerabilidade em segurança de aplicativos e testes de penetração. A maioria das pessoas interessadas nesta ferramenta são pen-testers e profissionais de segurança. Whitewidow também é de código aberto e é um verificador de vulnerabilidade SQL automatizado que pode usar uma lista de arquivos ou o Google para rastrear sites potencialmente vulneráveis. O objetivo principal desta ferramenta era aprender e dizer aos usuários como é a vulnerabilidade. O WhiteWidow requer algumas dependências para funcionar, como: mecanize, nokogiri, rest-client, webmock, rspec e vcr. É desenvolvido em uma linguagem de programação ruby. Milhares de consultas cuidadosamente pesquisadas são usadas para vasculhar o Google em busca de vulnerabilidades em diferentes sites. Quando você iniciar o Whitewidow, ele começará a verificar se há sites vulneráveis ​​imediatamente. Eles podem ser explorados mais tarde manualmente.

Instale o WhiteWidow:

$ Git clone https: // github.com / WhitewidowScanner / whitewidow.idiota
$ Cd whitewidow
$ Bundle install

Injeção jSQL:

jSQL é uma ferramenta automática de injeção de SQL baseada em java, daí o nome jSQL.
É FOSS e compatível com várias plataformas. Ele é montado usando bibliotecas como Hibernate, Spock e Spring. jSQL Injection oferece suporte a 23 bancos de dados diferentes, incluindo Access, MySQL, SQL Server, Oracle, PostgreSQL, SQLite, Teradata, Firebird, Ingris e muitos mais. A injeção jSQL é colocada em GitHub e usa a plataforma Travis CI para integração contínua. Ele verifica a existência de várias estratégias de injeção: Normal, Erro, Cego e Tempo. Possui outros recursos, como pesquisa de páginas de administração, força bruta de hash de senha, criação e visualização de shell Web e shell SQL, etc. A injeção jSQL também pode ler ou gravar arquivos.
A injeção jSQL está disponível em sistemas operacionais como Kali, Parrot OS, Pentest Box, BlackArch Linux e outras distros de pen-testing.

Instale jSQL:

$ apt-GET install jsql

SQLmap

SQLmap é uma ferramenta automatizada escrita em python que verifica automaticamente as vulnerabilidades SQL, explora-as e assume o controle dos servidores de banco de dados. É um software gratuito e de código aberto e é provavelmente a ferramenta mais comumente usada para testar alvos vulneráveis ​​de SQLi. É um software gratuito e de código aberto com um mecanismo de detecção incrivelmente poderoso. Criado por Daniele Bellucci em 2006, foi posteriormente desenvolvido e promovido por Bernardo Damele. O passo mais notável no desenvolvimento do sqlmap foi o Black Hat Europe 2009, chegando aos holofotes com toda a atenção da mídia. SQLmap suporta a maioria dos tipos de bancos de dados, técnicas de injeção de SQL e quebra de senha com base em ataques baseados em dicionário. Também pode ser usado para editar / baixar / fazer upload de arquivos em um banco de dados. O comando getsystem do Meterpreter (Metasploit) é usado para escalonamento de privilégios. Para o tunelamento ICMP, uma biblioteca impacket é adicionada. SQLmap fornece recuperação de resultados usando resolução recursiva de DNS muito mais rápido do que métodos baseados em tempo ou booleanos. As consultas SQL são usadas para acionar as solicitações DNS necessárias. SQLmap é compatível com python 2.6,2.7 e python 3 em diante.
De acordo com Ed Skoudis, um ataque SQLmap completo depende de um modelo de 5 etapas:

  1. Reconhecimento
  2. Scanning
  3. Explorar
  4. Manter o acesso
  5. Pistas de cobertura

Instale o SQLmap:

$ Apt-GET install sqlmap

Ou

$ Git clone https: // github.com / sqlmapproject / sqlmap.idiota
$ Cd sqlmap
$ Python sqlmap.py

Embora esta lista seja compacta, ela consiste nas ferramentas mais populares usadas para detectar e explorar SQLi. SQL Injection é uma vulnerabilidade muito comum e vem em uma variedade de formas, então as ferramentas são realmente úteis para a detecção dessas vulnerabilidades e ajudam muitos testadores de penetração e script-kiddies a fazer o trabalho de uma maneira realmente fácil.

Happy Injecting!

Isenção de responsabilidade: o artigo escrito acima é apenas para fins educacionais. É responsabilidade do usuário não usar as ferramentas fornecidas acima em um alvo sem permissão.

Jogos Os 10 melhores jogos para jogar no Ubuntu
Os 10 melhores jogos para jogar no Ubuntu
A plataforma Windows tem sido uma das plataformas dominantes para jogos devido à grande porcentagem de jogos que estão sendo desenvolvidos hoje para o...
Jogos 5 melhores jogos de arcade para Linux
5 melhores jogos de arcade para Linux
Hoje em dia, os computadores são máquinas sérias usadas para jogos. Se você não pode obter a nova pontuação máxima, você saberá o que quero dizer. Nes...
Jogos Batalha por Wesnoth 1.13.6 Desenvolvimento lançado
Batalha por Wesnoth 1.13.6 Desenvolvimento lançado
Batalha por Wesnoth 1.13.6 lançado no mês passado, é o sexto lançamento de desenvolvimento no 1.13.série x e oferece uma série de melhorias, principal...