Nov
10

sqlmap es una herramienta desarrollada en python para realizar inyección de código sql automáticamente. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que se detecta una o más inyecciones SQL en el host de destino, el usuario puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos , O todo el volcado de tablas / columnas específicas del DBMS , ejecutar su propio SQL SELECT, leer archivos específicos en el sistema de archivos y mucho más. Leer el resto de la entrada »

Ago
24
BSQL Hacker es un completo Framework para realizar un testeo de SQL Injection en nuestro aplicativos web, permite automatizar los procesos de búsqueda de inyecciones SQL (SQL Injection) e inyecciones ciegas de SQL (Blind SQL Injection) esta licenciada bajo GPL v2 y puesta a disposición de todos en este proyecto de Google Code.
Leer el resto de la entrada »
Ago
4
A continuación les dejo el vídeo de una conferencia sobre Técnicas Avanzadas de Blind SQL Injection dictada por Daniel Kachakil de Electronic Dreams y Pedro Laguna de Informática64 el 7 de Octubre de 2007 en Getafe España.
Leer el resto de la entrada »
May
29
EL siguiente Cheat Sheet (nosotros los paisas los llamamos pasteles, aunque en la mayoria de paises sean conocidos como chuletas) pretende hacer de manera clara y muy especifica las sentencias mas utilizadas en ataques de SQL Injection.
De esta manera el autor de la versión número 1.4 de este documento y administrador de su sitio web (ferruh), nos ofrece este genial documento.
En lo personal y con la experiencia que tengo en este tipo de ataques, no habia conocido un documento tan bien estructurado y organizado, pues aparte de ofrecernos una corta descripcion de cada uno de los tipos de ataques (simples, cadenas de operadores, blind y un largo etc.), comparte además varios ejemplos de como llevar a cabo este tipo de tests.
Hace la salvedad y aclara desde un comienzo que profundiza en ataques a los gestores MySQL, SQL Server de Microsoft, unos pequeños pero muy efectivos a oracle y PostgreSQL.
Comparto entonces el enlace del documento:
Web
Además me tomé la tarea de editar el documento y convertirlo a PDF para facilitar un poco la visualización y estudio del mismo:
Descargar documento en PDF
May
24
Viendo un articulo en Security Hacks donde analizan 15 herramientas escaneo para lograr SQL Injection, me encuentro con este listado de aplicaciones para realizar esta tarea.