Teste seu site para ataques de injeção de SQL e evite que ele seja invadido.
SQLi ( Injeção SQL ) é uma técnica antiga onde o hacker executa o declarações SQL maliciosas para assumir o site. É considerado como vulnerabilidade de alta gravidade e o último relatório da Acunetix mostra 8% do alvo digitalizado era vulnerável a ele.
Como o banco de dados SQL (linguagem de consulta estruturada) é suportado por muitas plataformas da web (PHP, WordPress, Joomla, Java, etc.), ele pode segmentar potencialmente um grande número de sites. Então você vê, é essencial garantir que seu site de negócios on-line não seja vulnerável ao SQLi, e o seguinte ajudará você a encontrar, se houver.
Observação : A execução da injeção de SQL gera alta largura de banda de rede e envia muitos dados. Portanto, verifique se você é o proprietário do site que está testando.
suIP.biz
Detectando falhas de SQL Injection online por suIP.biz suporte MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc. banco de dados.
O SQLMap o habilita para que ele teste todas as seis técnicas de injeção.
Teste de injeção de SQL on-line
Outra ferramenta online da alvo do hacker baseado em SQLMap para encontrar vincular & erro vulnerabilidade baseada em solicitação HTTP GET.
Invicti
Um scanner de segurança da Web abrangente e pronto para empresas – Invicti faz mais do que apenas o teste de vulnerabilidade SQL. Você pode integrar com SDLC para automatizar a segurança da web.
Veja isso índice de vulnerabilidade que é coberto pela varredura Invicti.
Vega
Vega é um software de scanner de segurança de código aberto que pode ser instalado no Linux, OS X e Windows.
O Vega é escrito em Java e é baseado em GUI.
Não apenas SQLi, mas você pode usar o Vega para testar muitas outras vulnerabilidades, como:
- Injeção de XML/Shell/URL
- Listagem de diretório
- O arquivo remoto inclui
- XSSName
- E muito mais…
Vega parece promissor LIVRE scanner de segurança da web.
SQLMap
SQLMap é um dos populares Código aberto ferramentas de teste para executar a injeção de SQL em um sistema de gerenciamento de banco de dados relacional.
Sqlmap enumera usuários, senhas, hashes, funções, bancos de dados, tabelas, colunas e suporte para despejar tabelas de banco de dados inteiramente.
O SQLMap também está disponível no Kali Linux. Você pode consultar este guia para instale Kali Linux no VMware Fusion.
Verificador de injeção SQL
Um scanner online por Pentest-Tools teste usando OWASP ZAP. Existem duas opções – light (GRÁTIS) e full (precisa ser registrado).
Appspider
Appspider da Rapid7 é uma solução dinâmica de teste de segurança de aplicativos para rastrear e testar um aplicativo da Web por mais de 95 tipos de ataque.
O único recurso do Appspider chamado validador de vulnerabilidade permite que o desenvolvedor reproduza a vulnerabilidade em tempo real.
Isso se torna útil quando você corrigiu a vulnerabilidade e deseja testar novamente para garantir que o risco seja corrigido.
Acunetix
Acunetix é um scanner de vulnerabilidade de aplicativo da Web pronto para empresas, confiável por mais de 4.000 marcas em todo o mundo. Não apenas a varredura do SQLi, mas a ferramenta é capaz de encontrar mais de 6.000 vulnerabilidades.
Cada descoberta é classificada com possíveis correções, para que você saiba o que fazer para consertá-la. Além disso, você pode integrar com o sistema CI/CD e SDLC, para que todos os riscos de segurança sejam identificados e corrigidos antes que o aplicativo seja implantado na produção.
wapiti
wapiti é um scanner de vulnerabilidade de caixa preta baseado em python. Ele suporta um grande número de detecção de ataque.
- SQLi e XPath
- CRLS e XSS
- Trauma pós guerra
- divulgação de arquivo
- Falsificação de solicitação do lado do servidor
- Execução do comando
e mais..
Ele suporta endpoint HTTP/HTTPS, vários tipos de autenticação como Basic, Digest, NTLM e Kerberos. Você tem a opção de gerar relatórios de verificação nos formatos HTML, XML, JSON e TXT.
Scant3r
Uma doca pronta, scant3r é um scanner leve baseado em Python.
Ele procura potenciais XSS, SQLi, RCE, SSTI de cabeçalhos e parâmetros de URL.
Qual é o próximo?
As ferramentas acima testarão e informarão se o seu site possui vulnerabilidade de injeção de SQL. Se você está se perguntando como proteja seu site contra injeção de SQL então o seguinte lhe dará uma ideia.
O aplicativo da Web mal codificado geralmente é responsável pela injeção de SQL, portanto, você precisa corrigir o código vulnerável. No entanto, outra coisa que você pode fazer é implementar o WAF (firewall de aplicativo da web) na frente do aplicativo.
Há dois possíveis maneiras de integrar o WAF com seu aplicativo.
- Integrar WAF em Web Servidor – você pode usar WAF como ModSecurity com NginxGenericName Apache ou WebKnight com IIS. Isso seria possível quando você estiver hospedando seu site por conta própria, como em Cloud/VPS ou dedicado. No entanto, se você estiver em uma hospedagem compartilhada, não poderá instalá-lo lá.
- Use WAF baseado em nuvem – provavelmente, a maneira mais fácil de adicionar proteção ao site é implementando o firewall do site . O bom é que funciona em qualquer site e você pode iniciá-lo em menos de 10 minutos.
Se você está curioso para aprender sobre SQL Injection, confira os seguintes recursos.
A seguir, confira como encontrar riscos de segurança em bancos de dados NoSQL .
