11 septiembre 2012

SQLI a tutiplén !

Según OWASP, las vulnerabilidades de tipo SQL Injection están en el primer lugar de su particular TOP de problemas en aplicaciones web y, ciertamente, son un tipo de vulnerabilidad con unas implicaciones peliagudas.

En aras de 'concienciar', desde hace algún tiempo hay disponibles aplicaciones realmente asombrosas que permiten localizar servidores web en internet que padezcan de vulnerabilidades de tipo SQLI.

Su funcionamiento es muy sencillo, por un lado emplean 'Google Dorks' para localizar aplicaciones cuyas URLs tengan patrones sospechosos (la típica aplicación con un blabla.php?id=) y de entre todas los sites localizados, identifica cuales son efectivamente vulnerables.

SQLI HUNTER v1.1

Esta herramienta, escrita en VB 2.0, tiene un juego de 'Dorks' bastante amplio y permite localizar fácilmente aplicaciones en internet susceptibles de ser vulnerables a SQLI.

El autor ha publicado un vídeo bastante completo sobre como usar la herramienta


Dork Searcher

La mecánica de 'Dork Searcher' es parecida a 'SQLI HUNTER', también emplea Google Dorks para localizar aplicaciones que sean vulnerables, pero además, para funcionar requiere que tengas configurado TOR para poder realizar la búsqueda de forma anónima.

Está escrita en .NET y luce así



Sin duda dos herramientas muy útiles para 'concienciar' y 'concienciarse' sobre la enorme cantidad de servidores vulnerables que hay conectados a Internet


2 comments :

1gbdeinfo dijo...

muy interesante Yago, gracias por compartir :D

Francisquito dijo...

Una frikada para los que no nos enteramos de nada...

http://blogs.lainformacion.com/futuretech/2012/09/07/chica-del-antivirus/