Según OWASP, las vulnerabilidades de tipo SQL Injection están en el primer lugar de su particular TOP de problemas en aplicaciones web y, ciertamente, son un tipo de vulnerabilidad con unas implicaciones peliagudas.
En aras de 'concienciar', desde hace algún tiempo hay disponibles aplicaciones realmente asombrosas que permiten localizar servidores web en internet que padezcan de vulnerabilidades de tipo SQLI.
Su funcionamiento es muy sencillo, por un lado emplean 'Google Dorks' para localizar aplicaciones cuyas URLs tengan patrones sospechosos (la típica aplicación con un blabla.php?id=) y de entre todas los sites localizados, identifica cuales son efectivamente vulnerables.
SQLI HUNTER v1.1
Esta herramienta, escrita en VB 2.0, tiene un juego de 'Dorks' bastante amplio y permite localizar fácilmente aplicaciones en internet susceptibles de ser vulnerables a SQLI.
El autor ha publicado un vídeo bastante completo sobre como usar la herramienta
Dork Searcher
La mecánica de 'Dork Searcher' es parecida a 'SQLI HUNTER', también emplea Google Dorks para localizar aplicaciones que sean vulnerables, pero además, para funcionar requiere que tengas configurado TOR para poder realizar la búsqueda de forma anónima.
Está escrita en .NET y luce así
Sin duda dos herramientas muy útiles para 'concienciar' y 'concienciarse' sobre la enorme cantidad de servidores vulnerables que hay conectados a Internet
2 comments :
muy interesante Yago, gracias por compartir :D
Una frikada para los que no nos enteramos de nada...
http://blogs.lainformacion.com/futuretech/2012/09/07/chica-del-antivirus/
Publicar un comentario