Pruebe su sitio web para detectar ataques de inyección SQL y evite que sea pirateado.
SQLi (SQL Injection) es una técnica antigua donde el hacker ejecuta el declaraciones SQL maliciosas para hacerse cargo del sitio web. Se considera como vulnerabilidad de alta gravedad, y el último informe de Acunetix muestra 8% del objetivo escaneado era vulnerable.

Dado que la base de datos SQL (lenguaje de consulta estructurado) es compatible con muchas plataformas web (PHP, WordPress, Joomla, Java, etc.), podría potencialmente apuntar a una gran cantidad de sitios web. Como puede ver, es esencial asegurarse de que el sitio web de su empresa en línea no sea vulnerable a SQLi, y lo siguiente le ayudará a encontrarlo.
Nota:: Realizar la inyección SQL genera un gran ancho de banda de red y envía una gran cantidad de datos. Por lo tanto, asegúrese de ser el propietario del sitio web que está probando.
suIP.biz
Detectar fallas de inyección SQL en línea por suIP.biz soporta bases de datos MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

SQLMap lo potencia para que pruebe las seis técnicas de inyección.
SQL Injection Test Online
Otra herramienta en línea de Destino hacker basado en SQLMap para encontrar se unen & error vulnerabilidad basada en la solicitud HTTP GET.

Invicti
Un escáner de seguridad web integral listo para la empresa: invicti hace más que solo la prueba de vulnerabilidad de SQL. Puede integrarse con SDLC para automatizar la seguridad web.

Mire este pequeño índice de vulnerabilidad, que está cubierto por el escaneo Invicti.
Vega
Vega es un software de escáner de seguridad de código abierto que se puede instalar en Linux, OS X y Windows.

Vega está escrito en Java y está basado en GUI.
No solo SQL, pero puede usar Vega para probar muchas otras vulnerabilidades como:
- Inyección XML / Shell / URL
- Lista de directorios
- El archivo remoto incluye
- XSS
- Y mucho más ...
Vega parece prometedora GRATIS escáner de seguridad web.
SQLMap
Mapa SQL es uno de los populares De código abierto herramientas de prueba para realizar la inyección de SQL contra un sistema de gestión de base de datos relacional.

Sqlmap enumera usuarios, contraseñas, hashes, roles, bases de datos, tablas, columnas y soporte para volcar tablas de bases de datos por completo.
SQLMap también está disponible en Kali Linux. Puede consultar esta guía para instalar Kali Linux en VMWare Fusion.
SQL Injection Scanner
An escáner en línea de Pentest-Tools prueba usando OWASP ZAP. Hay dos opciones: ligero (GRATIS) y completo (debe estar registrado).

Appspider
Araña de aplicaciones de Rapid7 es una solución dinámica de pruebas de seguridad de aplicaciones para rastrear y probar una aplicación web durante más de 95 tipos de ataque.

El único La función de Appspider llamada validador de vulnerabilidades permite al desarrollador reproducir la vulnerabilidad en tiempo real.
Esto se vuelve útil cuando ha solucionado la vulnerabilidad y desea volver a probar para asegurarse de que el riesgo se haya solucionado.
Acunetix
Acunetix es un escáner de vulnerabilidad de aplicaciones web listo para la empresa, en el que confían más de 4000 marcas en todo el mundo. No solo el escaneo SQLi, sino que la herramienta es capaz de encontrar más de 6000 vulnerabilidades.

Cada hallazgo se clasifica con posibles soluciones, de modo que sepa qué hacer para solucionarlo. Además, puede integrarse con el sistema CI / CD y SDLC, por lo que cada riesgo de seguridad se identifica y se corrige antes de implementar la aplicación en producción.
Wapiti
Wapiti es un escáner de vulnerabilidades de caja negra basado en Python. Admite una gran cantidad de detección de ataques.
- SQLi y XPath
- CRLS y XSS
- Neurosis de guerra
- Divulgación de archivos
- Falsificación de solicitudes del lado del servidor
- Ejecución del comando
y más ..
Es compatible con el punto final HTTP / HTTPS, múltiples tipos de autenticación como Basic, Digest, NTLM y Kerberos. Tiene la opción de generar informes de escaneo en formato HTML, XML, JSON y TXT.
Scant3r
Un estibador listo escaso3r es un escáner ligero basado en Python.

Busca posibles XSS, SQLi, RCE, SSTI a partir de encabezados y parámetros de URL.
¿Qué es lo siguiente?
Las herramientas anteriores probarán y le permitirán saber si su sitio web tiene una vulnerabilidad de inyección SQL. Si te preguntas como proteja su sitio contra la inyección SQL, entonces lo siguiente le dará una idea.
La aplicación web mal codificada a menudo es responsable de la inyección de SQL, por lo que debe corregir el código vulnerable. Sin embargo, otra cosa que puede hacer es implementar el WAF (firewall de aplicaciones web) delante de la aplicación.
Existen dos posibles formas de integrar WAF con su aplicación.
- Integre WAF en el servidor web - puedes usar WAF como ModSecurity con Nginx, Apache o webknight con IIS. Esto sería posible cuando aloja su sitio web por su cuenta, como en la nube / VPS o dedicado. Sin embargo, si tiene un alojamiento compartido, no puede instalarlo allí.
- Utilice WAF basado en la nube - probablemente, la forma más sencilla de agregar protección al sitio es implementando la firewall del sitio web. Lo bueno es que funcionará para cualquier sitio web y puede comenzar en menos de 10 minutos.
Si tiene curiosidad por aprender sobre la inyección SQL, consulte los siguientes recursos.
A continuación, vea cómo encontrar riesgos de seguridad en bases de datos NoSQL.