Abr
1
GreenSQL es un cortafuegos diseñado para brindar protección a Bases de Datos, especificamente MySQL frente a ataques del tipo SQL injection. GreenSQL trabaja en modo proxy interviniendo las conexiones a la base de datos y evaluando los comandos SQL que se envían.
Lo que hace la herramienta es evaluar los comandos SQL recibidos, basandose en una lista que podemos definir como sentencias peligrosas para la integridad de nuestra aplicación Web y base de datos, como por ejemplo: DROP, CREATE, ALTER, INSERT, etc.
Además de sus prestaciones la herramienta es distribuida bajo licencia GPL.
Leer el resto de la entrada »
Nov
22
Hace algunos meses había presentado la herramienta SQLNINJA en su versión número 0.1.1.
Pues ahora ICESURFER pone a disposición la versión 0.2.1-r1 de la herramienta.
Al igual que en versiones anteriores la herramienta SQLNINJA ofrece la posibilidad de crear una shell desde el sistema objetivo.
Igualmente aún se encuentra el flash-demo de uso de la herramienta. Ver demo de uso de SQLNINJA
Documentación de la herramienta SQLNINJA
Disponible para Linux, FreeBSD y MAC OS X, y según el propio autor “no tengo planeado hacerla utilizable para Windows”
Descargar SQLNINJA
Más información
Jul
16
SQLGET es una herramienta de inyección de código SQL a ciegas desarrollada en Perl.
Permitiendo conseguir mediante esta técnica acceso a esquemas y tablas de la base de datos auditada.
Bases de Datos soportadas para las auditorías:
- IBM DB2
- Microsoft SQL Server
- Oracle
- Postgres
- Mysql
- IBM Informix
- Sybase
- Hsqldb
- Mime
- Pervasive
- Virtuoso
- SQLite
- Interbase/Yaffil/Firebird (Borland)
- H2
- Mckoi
- Ingres
- MonetDB
- MaxDB
- ThinkSQL
- SQLBase
Técnicas de evasión:
- mod_security bypass
- Random user-agent
- Random proxy-server
- Random delay request
- Convert requests to hexadecimal values
Descargar SQLGET v1.0.0
Más información
Jul
16
FG-Injector es una herramienta que facilita la tarea del pentester en la explotación de vulnerabilidades del tipo inyecciones SQL.
Incluye un proxy que permite interceptar pedidos HTTP y modificarlos a voluntad del analista, un módulo de escucha de tráfico HTTP y un motor de inferencia para facilitar la automatización de explotación de inyecciones SQL.
EL módulo del motor de inferencia automatiza la generación e inyección de sentencias SQL necesarias para la explotación de inyecciones SQL de todo tipo (ordinarias y a ciegas). La herramienta permite tratar con distintos DBMS: MS SQL Server, MySQL y PostgresSQL.
Documentación de sobre el uso de la herramienta (instalación, configuración, uso, etc.)
Descargar FG-Injector (Tool SQL Injection)
Jul
8
Estas sencillas instrucciones muestran cómo proceder después de una instalación por defecto, asegurando la base de datos MySQL de accesos no deseados.
Instalar una base de datos MySQL es lo más sencillo del mundo. Hasta un neófito puede hacerlo. En plataformas Windows utilizando un sencillo asistente de “siguiente/ siguiente/ siguiente” ésta se instala en pocos minutos. Sin embargo, esta operación por defecto deja un buen número de agujeros de seguridad que, muchas veces, por desidia o desconocimiento no se corrigen. Una instalación por defecto de MySQL es una puerta de entrada a todo tipo de intrusos.
Leer el resto de la entrada »
