Articoli

SQLSentinel

SQLSentinel ha recentemente raggiunto la seconda versione beta, un software completamente sviluppato in Java in grado di individuare velocemente delle possibili falle di SQL Injection all’interno di un sito internet senza poi proseguire alla fase di exploiting.

La versione 0.1 rilasciata i primi giorni di Aprile integra le seguenti funzionalità:

  • Crawler web integrato che permette l’indicizzazione ricorsiva automatica del sito target
  • Un sql error finder che testa ogni parametro get della pagina passata dal crawler e cerca di trovare errori di validazione che generino errori sql
  • Modulo per il salvataggio di report pdf dei risultati trovati

Nella seconda beta (versione 0.2) rilasciata a Dicembre 2012 vengono inoltre aggiunte le seguenti funzioni:

  • Supporto a nuove tecniche di MySQL Injection: error-based, boolean-based blind and UNION query;
  • Per ogni connessione viene automaticamente e randomizzato un user-agent;
  • Supporto al HTTP Proxy;
  • Risolto un bug della GUI che mandava in stallo il software all’avvio di un nuovo processo.

Nell’ultima beta 0.3, appena rilasciata, vengono implementate le seguenti funzionalità:

  • Supporto per gli attacchi sql injection sui database MySql(union, blind e error based sql injection), PostegreSQLl(union, blind e error based sql injection), Microsoft SQL Serverl(union, blind e error based sql injection) e Oraclel(union, blind,error based e XML Error Based sql injection);
  • Supporto cookie per poter effettuare il test di siti che richiedono il login obbligatorio;
  • Fix di un bug bloccante del crawler, che adesso è harder, better, faster, stronger.

Potete scaricare l’ultima versione beta attraverso SourceForge.

The Mole è un ulteriore software dedicato al Pen Testing in grado di individuare falle di tipo SQL Injection, il progetto vede la luce lo scorso Ottobre 2011 e l’attuale versione versione stabile v0.2.6 vanta svariate funzioni da poter far invia ai tools rivali.

The Mole ha la peculiarità di essere multi piattaforma e di supportare non solo i tradizionali server  MySQL ma anche SQL Server, Postgres e Oracle. La sua interfaccia è esclusivamente su riga di comando e prevede un auto completamento dei comandi, gli argomenti dei comandi e i nomi di database, tabelle e colonne per facilitare l’utente.

È possibile effettuare il download di The Mole sul sito ufficiale: http://themole.nasel.com.ar/ inoltre di seguito vi riportiamo un video dimostrativo.

Continua a leggere