SQL INJECTION
Enviado por Christian Matos • 1 de Noviembre de 2017 • Informe • 282 Palabras (2 Páginas) • 272 Visitas
SQL INJECTION
Aqui se usa unas herramienta gratuitas disponibles para Windows y Linux. La primera es Netsparker community edition es una potente red que escanea de vulnerabilidades de aplicaciones, que puede detectar y problemas potenciales de seguridad del sitio web.El programa es capaz de identificar el error y booleanbased problemas de inyección de SQL.
Otra gran herramienta de explotación de inyección de SQL – Havij (Versión gratuita). Havij es una herramienta automatizada de inyección de SQL que ayuda a los probadores de penetración a encontrar y explotar SQL Injection de vulnerabilidades en una página web. Usando esto herramienta, podemos realizar la huella digital de la base de datos del back-end. Recuperar usuarios de DBMS y hashes de contraseña, volcado Tablas, columnas, obtención de datos de la base de datos y mucho más. Después de instalarlo ingrese la URL vulnerable, descubierta por el Netsparker en Havij y haga clic en Analizar. Esta voluntad nos permiten diseñar la siguiente explotación más profunda y gestionada.
Para Kali linux usamos el la herramineta Arachi pero esta es para buscar vulnerabilidades. Usaremos para SQL inyection la herramienta de explotación - sqlmap. de código abierto. Que automatiza el proceso de detección y explotación de SQL fallas de inyección y toma de servidores de bases de datos.
Para usar usamos el commando
python sqlmap.py –h
Una vez más, podemos usar sqlmap para confirmar
URL detectada por Arachni. Ejecute este comando en
El terminal: python sqlmap.py –u el URL que este realizando el ataque.
Para recuperar el usuario de la base de datos actual, nombre de la base de datos y para recuperar el archivo / etc / passwd como lo que hicimos con Havij. Ejecute el siguiente comando
Para ello:
Python sqlmap.py -u
"Http://192.168.88.130/peruggia/index.php?action=comment
& Pic_id = 1 "
...