Pruebe su sitio web contra ataques de inyección SQL y evite que sea pirateado.

SQLi(Inyección SQL) es una técnica antigua en la que el hacker ejecuta las sentencias SQL maliciosas para apoderarse del sitio web. Se considera una vulnerabilidad de alta gravedad, y el último informe de Acunetix muestra que el 8% del objetivo escaneado era vulnerable a ella.

acunetix-web-vul-report

Dado que la base de datos SQL (lenguaje de consulta estructurado) está soportada por muchas plataformas web (PHP, WordPress, Joomla, Java, etc.), potencialmente podría tener como objetivo un gran número de sitios web. Como ve, es esencial asegurarse de que el sitio web de su negocio en línea no es vulnerable a SQLi, y lo siguiente le ayudará a averiguar si lo es.

Nota: Realizar una inyección SQL genera un gran ancho de banda de red y envía muchos datos. Por lo tanto, asegúrese de que usted es el propietario del sitio web que está probando.

suIP.biz

Detección de fallas de inyección SQL en línea por suIP.biz apoyar MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc base de datos.

suip

SQLMap lo potencia por lo que probará contra las seis técnicas de inyección.

Prueba de inyección SQL en línea

Otra herramienta en línea de Hacker Target basada en SQLMap para encontrar vulnerabilidades basadas en bind y errores contra peticiones HTTP GET.

hacker-target

Invicti

Un escáner de seguridad web integral listo para la empresa – Invicti hace más que la prueba de vulnerabilidad SQL. Puede integrarse con SDLC para automatizar la seguridad web.

netsparker fullscreen

Eche un vistazo a este índice de vulnerabilidades que cubre el escáner Invicti.

Vega

Vega es un software de escáner de seguridad de código abierto que puede instalarse en Linux, OS X y Windows.

vega

Vega está escrito en Java, y está basado en GUI.

No sólo SQLi, pero puede utilizar Vega para probar muchas otras vulnerabilidades como:

  • Inyección XML /Shell/URL
  • Listado de directorios
  • Archivo remoto incluye
  • XSS
  • Y mucho más..

Vega parece prometedor escáner de seguridad web GRATUITO.

SQLMap

SQLMap es una de las populares herramientas de pruebas de código abierto para realizar inyecciones SQL contra un sistema de gestión de bases de datos relacionales.

sqlmap

Sqlmap enumera usuarios, contraseñas, hashes, roles, bases de datos, tablas, columnas y soporta el volcado completo de tablas de bases de datos.

SQLMap también está disponible en Kali Linux. Puede consultar esta guía para instalar Kali Linux en VMWare Fusion.

Escáner de inyecciones SQL

Un escáner en línea por Pentest-Tools prueba utilizando OWASP ZAP. Hay dos opciones – ligera (GRATUITA) y completa (necesita estar registrado).

sql-injection-scanner

Appspider

Appspider por Rapid7 es una solución dinámica de pruebas de seguridad de aplicaciones para rastrear y probar una aplicación web para más de 95 tipos de ataque.

appspider

La característicaúnica de Appspider llamada validador de vulnerabilidades permite al desarrollador reproducir la vulnerabilidad en tiempo real.

Esto resulta muy útil cuando se ha remediado la vulnerabilidad y se desea volver a realizar la prueba para asegurarse de que se ha solucionado el riesgo.

Acunetix

Acunetix es un escáner de vulnerabilidades de aplicaciones web preparado para empresas, en el que confían más de 4000 marcas de todo el mundo. No sólo el escáner SQLi, sino que la herramienta es capaz de encontrar más de 6000 vulnerabilidades.

acunetix-sql-scan

Cada hallazgo se clasifica con posibles correcciones, para que sepa qué hacer para solucionarlo. Además, puede integrarse con el sistema CI/CD y el SDLC, de modo que cada riesgo de seguridad se identifica y soluciona antes de que la aplicación se despliegue en producción.

Wapiti

Wapiti es un escáner de vulnerabilidades de caja negra basado en python. Soporta un gran número de detección de ataques.

  • SQLi y XPath
  • CRLS y XSS
  • Shellshock
  • Divulgación de archivos
  • Falsificación de peticiones del lado del servidor
  • Ejecución de comandos

y más..

Soporta punto final HTTP/HTTPS, múltiples tipos de autenticación como Basic, Digest, NTLM y Kerberos. Tiene la opción de generar informes de escaneo en formato HTML, XML, JSON y TXT.

Scant3r

Preparado para Docker, scant3r es un escáner ligero basado en Python.

scant3r-demo

Busca potenciales XSS, SQLi, RCE, SSTI a partir de cabeceras y parámetros de URL.

¿Qué es lo siguiente?

Las herramientas anteriores probarán y le harán saber si su sitio web tiene una vulnerabilidad de inyección SQL. Si se pregunta cómo proteger su sitio contra la inyección SQL, lo siguiente le dará una idea.

Una aplicación web mal codificada suele ser la responsable de la inyección SQL, así que tiene que arreglar el código vulnerable. Sin embargo, otra cosa que puede hacer es implementar el WAF (cortafuegos de aplicaciones web) delante de la aplicación.

Hay dos formas posibles de integrar el WAF con su aplicación.

  • Integrar WAFen el servidor web: puede utilizar WAF como ModSecurity con Nginx, Apache o WebKnight con IIS. Esto sería posible cuando está alojando su sitio web por su cuenta, como en Cloud/VPS o dedicado. Sin embargo, si está en alojamiento compartido, entonces no puede instalarlo allí.
  • Utilice WAF basado en la nube – probablemente, la forma más fácil de añadir protección al sitio es implementando el cortafuegos del sitio web. Lo bueno es que funcionará para cualquier sitio web, y puede ponerlo en marcha en menos de 10 minutos.

Si tiene curiosidad por aprender sobre la inyección SQL, consulte los siguientes recursos.

YouTube video

A continuación, consulte cómo encontrar riesgos de seguridad en las bases de datos NoSQL.