En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas para automatización de inyección SQL.

Ya he escrito de la inyección SQL en otros post, en este post tratare de las cuatro herramientas de automatización de inyección SQL, que yo destacaría. Que son las siguientes:

SQL Power Injection Injector: Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:

  • Disponible para las plataformas: Windows, Unix y Linux.
  • Soporta SSL.
  • Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
  • Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.


Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/
Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap: Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

  • Al estar escrita en Python es multiplataforma.
  • El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
  • Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
http://sqlmap.sourceforge.net/
Manuales de SQLMap :
http://sqlmap.sourceforge.net/#docs


SQLNinja: Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

  • Realiza Fingerprint de servidores SQL.
  • Realiza ataques de fuerza a bruta a la cuenta del “sa”.
  • Utiliza técnicas de evasión de IDS/IPS/WAF.
  • Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/
Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL: Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
http://witool.sourceforge.net


Evitar “SQL injection” con cortafuegos para base de datos.
http://vtroger.blogspot.com/2008/10/evitar-sql-injection-con-cortafuegos.html
Herramientas para automatización de inyección SQL. Herramientas para automatización de inyección SQL. Reviewed by Álvaro Paz on miércoles, febrero 11, 2009 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.