Geekflare
In Sécurité  |  Dernière mise à jourated:
Partager sur:
Logiciel Jira est l'outil de gestion de projet n°1 utilisé par les équipes agiles pour planifier, suivre, publier et prendre en charge d'excellents logiciels.

Comment trouver les vulnérabilités d'attaque par injection SQL?

By
injection SQL

Testez votre site Web pour les attaques par injection SQL et prevempêcher qu'il soit piraté.

SQLi (Injection SQL) est une ancienne technique où le hacker exécute le SQL malveillantatement pour reprendre le site Web. Il est considéré comme vulnérabilité de gravité élevée, et le lateLe premier rapport d'Acunetix montre 8% de la cible numérisée en était vulnérable.

acunetix-web-vul-rapport
acunetix-web-vul-rapport
acunetix-web-vul-rapport

Étant donné que la base de données SQL (Structured Query Language) est prise en charge par de nombreux sites Web platformulaires (PHP, WordPress, Joomla, Java, etc.), il pourrait Potentially cibler un grand nombre de sites Web. Donc, vous voyez, il est essentiel de vous assurer que votre site Web d'entreprise en ligne n'est pas vulnérable à SQLi, et ce qui suit vous aidera à en trouver.

Notes: Exécution du générateur d'injection SQLates haut réseau bandwidth et envoie beaucoup de données. Assurez-vous donc que vous êtes le propriétaire du site Web que vous testez.

suIP.biz

Détection des failles d'injection SQL en ligne par suIP.biz prend en charge les bases de données MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

souper
souper
souper

SQLMap le propulse afin qu'il teste les six techniques d'injection.

Test d'injection SQL en ligne

Un autre outil en ligne par Cible du pirate basé sur SQLMap pour trouver lier & erreur vulnérabilité basée sur la requête HTTP GET.

hacker-cible
hacker-cible
hacker-cible

invicti

Une entrepriserise- Scanner de sécurité Web complet et prêt à l'emploi – invicti fait plus que le simple test de vulnérabilité SQL. Vous pouvez intégrerate avec SDLC pour automatiserate sécurité Internet.

netsparker plein écran
netsparker plein écran
netsparker plein écran

Check out this indice de vulnérabilité, qui est couvert par le scan Invicti.

Vega

Vega est un logiciel d'analyse de sécurité open source qui peut être installé sur Linux, OS X et Windows.

vega
vega
vega

Vega est écrit en Java et est basé sur une interface graphique.

Pas seulement SQLi, mais vous pouvez utiliser Vega pour tester de nombreuses autres vulnérabilités telles que:

  • Injection XML / Shell / URL
  • Liste du répertoire
  • Le fichier distant comprend
  • XSS
  • Et bien plus encore ...

Vega semble prometteur Sauvegardes scanner de sécurité Web.

SQLMap

SQLMap est l'un des populaires open-source des outils de test pour effectuer une injection SQL sur un système de gestion de base de données relationnelle.

sqlmap
sqlmap
sqlmap

Énumérateur SQLmapates utilisateurs, mots de passe, hachages, rôles, bases de données, tables, colonnes et prise en charge pour vider entièrement les tables de base de données.

SQLMap est également disponible sur Kali Linux. Vous pouvez consulter ce guide pour installer Kali Linux sur VMWare Fusion.

Scanner d'injection SQL

An scanner en ligne par Pentest-Tools test avec OWASP ZAP. Il y a deux options - léger (GRATUIT) et complet (doit être enregistré).

scanner-injection-sql
scanner-injection-sql
scanner-injection-sql

Apparaignée

Apparaignée by Rapid7 est une solution de test de sécurité d'application dynamique pour explorer et tester une application Web pendant plus de 95 types d'attaques.

applicationaraignée
applicationaraignée
applicationaraignée

Le uniques La fonctionnalité d'Appspider appelée validateur de vulnérabilité permet au développeur de reproduire la vulnérabilité en temps réel.

Cela devient pratique lorsque vous avez corrigéated la vulnérabilité et souhaite re-tester pour s’assurer que le risque est corrigé.

Acunetix

Acunetix est une entrepriseriseScanner de vulnérabilités d'applications Web prêt à l'emploi, approuvé par plus de 4000 6000 marques dans le monde. Pas seulement l'analyse SQLi, mais l'outil est capable de trouver plus de XNUMX XNUMX vulnérabilités.

acunetix-sql-scan
acunetix-sql-scan
acunetix-sql-scan

Chaque résultat est classé avec des correctifs potentiels, vous savez donc quoi faire pour le corriger. De plus, vous pouvez intégrerate avec le système CI/CD et SDLC, de sorte que chaque risque de sécurité est identifié et corrigé avant que l'application ne soit déployée en production.

Wapiti

Wapiti est un logiciel noir basé sur pythonbox scanner de vulnérabilité. Il prend en charge un grand nombre de détections d'attaques.

  • SQLi et XPath
  • CRLS et XSS
  • Shellsjarret
  • Divulgation de fichier
  • Falsification de demande côté serveur
  • Exécution de la commande

et plus ..

Il prend en charge le point de terminaison HTTP/HTTPS et plusieurs types d'authentification tels que Basic, Digest, NTLM et Kerberos. Vous avez la possibilité de générerate analyser les rapports aux formats HTML, XML, JSON et TXT.

Rare3r

Un docker prêt, rare3r est un scanner léger basé sur Python.

scant3r-démo
scant3r-démo
scant3r-démo

Il recherche les potentiels XSS, SQLi, RCE, SSTI à partir des en-têtes et des paramètres d'URL.

Quelle est la prochaine?

Les outils ci-dessus vont tester et vous indiquer si votre site Web présente une vulnérabilité d'injection SQL. Si vous vous demandez comment protégez votre site contre l'injection SQL, alors ce qui suit vous donnera une idée.

L'application Web mal codée est souvent responsable de l'injection SQL, vous devez donc corriger le code vulnérable. Cependant, une autre chose que vous pouvez faire est de mettre en œuvre le WAF (pare-feu d'application Web) devant l'application.

Il y a deux possible façons d'intégrerate WAF avec votre application.

  • Intégréate WAF dans le serveur Web - vous pouvez utiliser WAF comme ModSecurity avec Nginx, Apache ou WebKnight avec IIS. Cela serait possible lorsque vous hébergez vous-même votre site Web, comme dans Cloud/VPS ou dédié.ated. Cependant, si vous utilisez un hébergement mutualisé, vous ne pouvez pas l'installer ici.
  • Utiliser le WAF basé sur le cloud - probablement, le moyen le plus simple d'ajouter une protection de site consiste à implémenter le pare-feu de site Web. La bonne chose est que cela fonctionnera pour n'importe quel site Web et que vous pouvez le démarrer moins de minutes 10.

Si vous souhaitez en savoir plus sur l'injection SQL, consultez les ressources suivantes.

Ensuite, découvrez comment trouver les risques de sécurité dans les bases de données NoSQL.

Partager sur:
  • Chandan Kumar
    Auteur
    Chandan Kumar est un passionné de technologie chevronné et un entrepreneur passionné.ate à propos empowerles entreprises et les particuliers du monde entierally. En tant que fondateur de Geekflare, une publication technologique de premier plan, Chandan a dirigé le développement…

Merci à nos commanditaires

Plus de bonnes lectures sur la sécurité

Alimentez votre entreprise

Certains des outils et services pour aider votre entreprise grow.
  • Murf AI

    L'outil de synthèse vocale qui utilise l'IA pour générerate des voix humaines réalistes.

    Essayez Murf AI
  • Données lumineuses

    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.

    Essayez Brightdata
  • Monday.com

    Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.

    Essayez Monday
  • Intruder

    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.

    Essayez Intruder