• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Testez votre site Web pour l'attaque par injection SQL et empêchez-le d'être piraté.

    SQLi (Injection SQL) est une ancienne technique où le hacker exécute le instructions SQL malveillantes pour reprendre le site Web. Il est considéré comme vulnérabilité de gravité élevée, et le dernier rapport d'Acunetix montre 8% de la cible numérisée en était vulnérable.

    Étant donné que la base de données SQL (langage de requête structuré) est prise en charge par de nombreuses plates-formes Web (PHP, WordPress, Joomla, Java, etc.), elle pourrait potentiellement cibler un grand nombre de sites Web. Donc, vous voyez, il est essentiel de vous assurer que votre site Web d'entreprise en ligne n'est pas vulnérable à SQLi, et ce qui suit vous aidera à en trouver.

    Notes: L'exécution d'une injection SQL génère une bande passante réseau élevée et envoie beaucoup de données. Assurez-vous donc que vous êtes le propriétaire du site Web que vous testez.

    suIP.biz

    Détection des failles d'injection SQL en ligne par suIP.biz prend en charge les bases de données MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

    SQLMap le propulse afin qu'il teste les six techniques d'injection.

    Test d'injection SQL en ligne

    Un autre outil en ligne par Cible du pirate basé sur SQLMap pour trouver lier & erreur vulnérabilité basée sur la requête HTTP GET.

    Netsparker

    Un scanner de sécurité Web complet prêt pour l'entreprise - Netsparker fait plus que simplement le test de vulnérabilité SQL. Vous pouvez intégrer SDLC pour automatiser la sécurité Web.

    netsparker plein écran

    Check out this indice de vulnérabilité, qui est couvert par l'analyse Netsparker.

    Vega

    Vega est un logiciel d'analyse de sécurité open source qui peut être installé sur Linux, OS X et Windows.

    Vega est écrit en Java et est basé sur une interface graphique.

    Pas seulement SQLi, mais vous pouvez utiliser Vega pour tester de nombreuses autres vulnérabilités telles que:

    • Injection XML / Shell / URL
    • Liste du répertoire
    • Le fichier distant comprend
    • XSS
    • Et bien plus encore ...

    Vega semble prometteur LIVRAISON GRATUITE scanner de sécurité Web.

    SQLMap

    SQLMap est l'un des populaires open-source des outils de test pour effectuer une injection SQL sur un système de gestion de base de données relationnelle.

    Sqlmap énumère les utilisateurs, les mots de passe, les hachages, les rôles, les bases de données, les tables, les colonnes et prend en charge le vidage complet des tables de base de données.

    SQLMap est également disponible sur Kali Linux. Vous pouvez consulter ce guide pour installer Kali Linux sur VMWare Fusion.

    Analyseur d'injection SQL

    An scanner en ligne par Pentest-Tools test avec OWASP ZAP. Il y a deux options - léger (GRATUIT) et complet (doit être enregistré).

    Appspider

    Appspider by Rapid7 est une solution de test de sécurité d'application dynamique pour explorer et tester une application Web pendant plus de 95 types d'attaques.

    Le uniques La fonctionnalité d'Appspider appelée validateur de vulnérabilité permet au développeur de reproduire la vulnérabilité en temps réel.

    Cela devient pratique lorsque vous avez corrigé la vulnérabilité et que vous souhaitez effectuer un nouveau test pour vous assurer que le risque est corrigé.

    Acunetix

    Acunetix est un scanner de vulnérabilité des applications Web prêt pour l'entreprise, approuvé par plus de 4000 marques dans le monde. Pas seulement l'analyse SQLi, mais l'outil est capable de trouver plus de 6000 vulnérabilités.

    Chaque constatation est classée avec des correctifs potentiels, vous savez donc quoi faire pour la corriger. De plus, vous pouvez intégrer le système CI / CD et SDLC, de sorte que chaque risque de sécurité est identifié et corrigé avant le déploiement de l'application en production.

    Wapiti

    Wapiti est un scanner de vulnérabilité de boîte noire basé sur python. Il prend en charge un grand nombre de détection d'attaques.

    • SQLi et XPath
    • CRLS et XSS
    • Shellshock
    • Divulgation de fichier
    • Falsification de demande côté serveur
    • Exécution de la commande

    et plus ..

    Il prend en charge les points de terminaison HTTP / HTTPS, plusieurs types d'authentification tels que Basic, Digest, NTLM et Kerberos. Vous avez la possibilité de générer des rapports d'analyse au format HTML, XML, JSON et TXT.

    Scant3r

    Un docker prêt, rare3r est un scanner léger basé sur Python.

    Il recherche les potentiels XSS, SQLi, RCE, SSTI à partir des en-têtes et des paramètres d'URL.

    Quelle est la prochaine?

    Les outils ci-dessus vont tester et vous indiquer si votre site Web présente une vulnérabilité d'injection SQL. Si vous vous demandez comment protégez votre site contre l'injection SQL, alors ce qui suit vous donnera une idée.

    L'application Web mal codée est souvent responsable de l'injection SQL, vous devez donc corriger le code vulnérable. Cependant, une autre chose que vous pouvez faire est de mettre en œuvre le WAF (pare-feu d'application Web) devant l'application.

    Il y a deux possible comment intégrer WAF à votre application.

    • Intégrer WAF dans le serveur Web - vous pouvez utiliser WAF comme ModSecurity avec Nginx, Apache ou WebKnight avec IIS. Cela serait possible lorsque vous hébergez votre site Web seul, comme dans Cloud / VPS ou dédié. Cependant, si vous êtes sur un hébergement partagé, vous ne pouvez pas l'installer là-bas.
    • Utiliser le WAF basé sur le cloud - probablement, le moyen le plus simple d'ajouter une protection de site consiste à implémenter le pare-feu de site Web. La bonne chose est que cela fonctionnera pour n'importe quel site Web et que vous pouvez le démarrer moins de minutes 10.

    Si vous souhaitez en savoir plus sur l'injection SQL, consultez les ressources suivantes.

    Ensuite, découvrez comment trouver les risques de sécurité dans les bases de données NoSQL.