Rilasciata una nuova versione di SQLSentinel

SQLSentinel

SQLSentinel ha recentemente raggiunto la seconda versione beta, un software completamente sviluppato in Java in grado di individuare velocemente delle possibili falle di SQL Injection all’interno di un sito internet senza poi proseguire alla fase di exploiting.

La versione 0.1 rilasciata i primi giorni di Aprile integra le seguenti funzionalità:

  • Crawler web integrato che permette l’indicizzazione ricorsiva automatica del sito target
  • Un sql error finder che testa ogni parametro get della pagina passata dal crawler e cerca di trovare errori di validazione che generino errori sql
  • Modulo per il salvataggio di report pdf dei risultati trovati

Nella seconda beta (versione 0.2) rilasciata a Dicembre 2012 vengono inoltre aggiunte le seguenti funzioni:

  • Supporto a nuove tecniche di MySQL Injection: error-based, boolean-based blind and UNION query;
  • Per ogni connessione viene automaticamente e randomizzato un user-agent;
  • Supporto al HTTP Proxy;
  • Risolto un bug della GUI che mandava in stallo il software all’avvio di un nuovo processo.

Nell’ultima beta 0.3, appena rilasciata, vengono implementate le seguenti funzionalità:

  • Supporto per gli attacchi sql injection sui database MySql(union, blind e error based sql injection), PostegreSQLl(union, blind e error based sql injection), Microsoft SQL Serverl(union, blind e error based sql injection) e Oraclel(union, blind,error based e XML Error Based sql injection);
  • Supporto cookie per poter effettuare il test di siti che richiedono il login obbligatorio;
  • Fix di un bug bloccante del crawler, che adesso è harder, better, faster, stronger.

Potete scaricare l’ultima versione beta attraverso SourceForge.

  • aspy

    Temo ci sia qualche problemino… Mi ha piallato il db di prova 🙂

    • Grazie Paolo,
      lo segnalò agli sviluppatori!

      Andrea

      Il giorno 31/gen/2013, alle ore 17:13, “Disqus” ha scritto:

    • luca

      Ciao Paolo

      Sono uno degli sviluppatori di questo tool. Riesci a fornirmi qualche info in più di questo problema? tipo lo stacktrace o la situazione in cui si verifica? 🙂

      Grazie
      Luca

      • aspy

        ciao luca
        sentiamoci in priv.

        • Luca

          Ciao Paolo

          Mandami una mail al mio indirizzo blackstorm010[at]gmail[dot]com