Dzisiaj czas na narzędzia dostępne w systemie operacyjnym Kali Linux 2016.1 dedykowane do testów bezpieczeństwa związanych z atakami SQL Injection. Na pierwszy ogień pójdzie aplikacja jSQL Injection. Program umożliwia zarówno detekcje luki typu Blind SQL Injection jak i zwykłej standardowej podatności związanej z bazą danych.
Dużą zaletą jest oczywiście interfejs graficzny i możliwość wykorzystania dodatkowych ciasteczek i nagłówków przeglądarki internetowej. Większość funkcji można po prostu wyklikać myszką. Aplikacja posiada dodatkowe możliwości w postaci modułu do wyszukiwania ciekawych plików na serwerze, a nawet umożliwia wykonanie ataku brute-force na odnalezione hashe. Kolejnym narzędziem wspomagającym jest hashidentifier pozwalający dokonania detekcji algorytmu funkcji mieszającej.
Ostatnim świetnym programem bomba jest sqlmap, służący do pełnej automatyzacji ataku SQL Injection. Na uwagę zasługuje fakt, że narzędzie umożliwia również automatyczne wyszukiwanie nazw baz danych, tabel, kolumn i dodatkowo na łamanie wartości hash np: MD5. Sqlmap dedykowany jest dla większości systemów bazodanowych. Podobnym narzędziem dedykowanym dla Microsoft SQL Server jest sqlninja.
Na samym końcu pokażemy Tobie sztuczkę umożliwiającą zapisanie złośliwego SHELLA PHP, za pomocą zapytania SQL into OUTFILE w bazach danych MySQL.
Read More