geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By chandan kumar in Seguridad  |  Última actualización: 6 de septiembre de 2022
Comparte en:

¿Cómo encontrar vulnerabilidades de ataques de inyección SQL?

inyección SQL
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Pruebe su sitio web para detectar ataques de inyección SQL y evite que sea pirateado.

SQLi (SQL Injection) es una técnica antigua donde el hacker ejecuta el declaraciones SQL maliciosas para hacerse cargo del sitio web. Se considera como vulnerabilidad de alta gravedad, y el último informe de Acunetix muestra 8% del objetivo escaneado era vulnerable.

acunetix-web-vul-informe

Dado que la base de datos SQL (lenguaje de consulta estructurado) es compatible con muchas plataformas web (PHP, WordPress, Joomla, Java, etc.), podría potencialmente apuntar a una gran cantidad de sitios web. Como puede ver, es esencial asegurarse de que el sitio web de su empresa en línea no sea vulnerable a SQLi, y lo siguiente le ayudará a encontrarlo.

Nota:: Realizar la inyección SQL genera un gran ancho de banda de red y envía una gran cantidad de datos. Por lo tanto, asegúrese de ser el propietario del sitio web que está probando.

suIP.biz

Detectar fallas de inyección SQL en línea por suIP.biz soporta bases de datos MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

cenar

SQLMap lo potencia para que pruebe las seis técnicas de inyección.

SQL Injection Test Online

Otra herramienta en línea de Destino hacker basado en SQLMap para encontrar se unen & error vulnerabilidad basada en la solicitud HTTP GET.

hacker-objetivo

Invicti

Un escáner de seguridad web integral listo para la empresa: invicti hace más que solo la prueba de vulnerabilidad de SQL. Puede integrarse con SDLC para automatizar la seguridad web.

netsparker pantalla completa

Mire este pequeño índice de vulnerabilidad, que está cubierto por el escaneo Invicti.

Vega

Vega es un software de escáner de seguridad de código abierto que se puede instalar en Linux, OS X y Windows.

vega

Vega está escrito en Java y está basado en GUI.

No solo SQL, pero puede usar Vega para probar muchas otras vulnerabilidades como:

  • Inyección XML / Shell / URL
  • Lista de directorios
  • El archivo remoto incluye
  • XSS
  • Y mucho más ...

Vega parece prometedora GRATIS escáner de seguridad web.

SQLMap

Mapa SQL es uno de los populares De código abierto herramientas de prueba para realizar la inyección de SQL contra un sistema de gestión de base de datos relacional.

mapa sql

Sqlmap enumera usuarios, contraseñas, hashes, roles, bases de datos, tablas, columnas y soporte para volcar tablas de bases de datos por completo.

SQLMap también está disponible en Kali Linux. Puede consultar esta guía para instalar Kali Linux en VMWare Fusion.

SQL Injection Scanner

An escáner en línea de Pentest-Tools prueba usando OWASP ZAP. Hay dos opciones: ligero (GRATIS) y completo (debe estar registrado).

sql-inyección-escáner

Appspider

Araña de aplicaciones de Rapid7 es una solución dinámica de pruebas de seguridad de aplicaciones para rastrear y probar una aplicación web durante más de 95 tipos de ataque.

apparaña

El único La función de Appspider llamada validador de vulnerabilidades permite al desarrollador reproducir la vulnerabilidad en tiempo real.

Esto se vuelve útil cuando ha solucionado la vulnerabilidad y desea volver a probar para asegurarse de que el riesgo se haya solucionado.

Acunetix

Acunetix es un escáner de vulnerabilidad de aplicaciones web listo para la empresa, en el que confían más de 4000 marcas en todo el mundo. No solo el escaneo SQLi, sino que la herramienta es capaz de encontrar más de 6000 vulnerabilidades.

acunetix-sql-scan

Cada hallazgo se clasifica con posibles soluciones, de modo que sepa qué hacer para solucionarlo. Además, puede integrarse con el sistema CI / CD y SDLC, por lo que cada riesgo de seguridad se identifica y se corrige antes de implementar la aplicación en producción.

Wapiti

Wapiti es un escáner de vulnerabilidades de caja negra basado en Python. Admite una gran cantidad de detección de ataques.

  • SQLi y XPath
  • CRLS y XSS
  • Neurosis de guerra
  • Divulgación de archivos
  • Falsificación de solicitudes del lado del servidor
  • Ejecución del comando

y más ..

Es compatible con el punto final HTTP / HTTPS, múltiples tipos de autenticación como Basic, Digest, NTLM y Kerberos. Tiene la opción de generar informes de escaneo en formato HTML, XML, JSON y TXT.

Scant3r

Un estibador listo escaso3r es un escáner ligero basado en Python.

scant3r-demo

Busca posibles XSS, SQLi, RCE, SSTI a partir de encabezados y parámetros de URL.

¿Qué es lo siguiente?

Las herramientas anteriores probarán y le permitirán saber si su sitio web tiene una vulnerabilidad de inyección SQL. Si te preguntas como proteja su sitio contra la inyección SQL, entonces lo siguiente le dará una idea.

La aplicación web mal codificada a menudo es responsable de la inyección de SQL, por lo que debe corregir el código vulnerable. Sin embargo, otra cosa que puede hacer es implementar el WAF (firewall de aplicaciones web) delante de la aplicación.

Existen dos posibles formas de integrar WAF con su aplicación.

  • Integre WAF en el servidor web - puedes usar WAF como ModSecurity con Nginx, Apache o webknight con IIS. Esto sería posible cuando aloja su sitio web por su cuenta, como en la nube / VPS o dedicado. Sin embargo, si tiene un alojamiento compartido, no puede instalarlo allí.
  • Utilice WAF basado en la nube - probablemente, la forma más sencilla de agregar protección al sitio es implementando la firewall del sitio web. Lo bueno es que funcionará para cualquier sitio web y puede comenzar en menos de 10 minutos.

Si tiene curiosidad por aprender sobre la inyección SQL, consulte los siguientes recursos.

Video de Youtube

A continuación, vea cómo encontrar riesgos de seguridad en bases de datos NoSQL.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder