Το SQL injection είναι η πιο επικίνδυνη και κοινή επίθεση εναντίον διαδικτυακών εφαρμογών και υπάρχουν πολλά διαθέσιμα εργαλεία για την εκμετάλλευση μιας τέτοιας ευπάθειας, όπως το Havij και το SQLmap.
Πολύ σημαντικό όμως είναι και ο εντοπισμός μιας ευπάθειας SQL injection για την εκμετάλλευση ...
μιας διαδικτυακής εφαρμογής. Ένας τέτοιο εργαλείο είναι και το SQLSentinel που περιγράφεται παρακάτω:
Το SQLSentinel είναι ένα εργαλείο «ανοικτού κώδικα» που αυτοματοποιεί τη διαδικασία εύρεσης ευπαθειών SQL injection σε έναν δικτυακό τόπο. Το SQLSentinel περιλαμβάνει ανιχνευτή ιστού και σφαλμάτων SQL. Δίνετε ως στοιχείο τη διεύθυνση ενός ιστοχώρου και το SQLSentinel ερευνά και προσπαθεί να εκμεταλλευτεί σφάλματα ασφάλειας. Όταν η διεργασία έχει ολοκληρωθεί, δημιουργεί ένα αρχείο report σε μορφή pdf, όπου αναφέρονται το ευπαθές url και το url που ερευνήθηκε.
Μην ξεχάσετε ότι το SQLSentinel δεν είναι ένα εργαλείο εκμετάλλευσης ευπαθειών, αλλά εύρεσης ευπαθών url.
Εντοπίστε την ευπάθεια SQL injection και στη συνέχεια χρησιμοποιείστε ένα από τα πολύ γνωστά εργαλεία εκμετάλλευσης ευπαθειών.
Οδηγίες για τη χρήση του SQLSentinel
- Μεταφορτώστε το εργαλείο εδώ.
- Κάντε το εξαγωγή στο directory. (στην περίπτωση αυτή χρησιμοποιείται backtrack 5 σε Ubuntu)
- Ανοίξτε το terminal και στη συνέχεια εντοπίστε το directory, όπου έχετε βάλει το εργαλείο
- Λειτουργεί με Java, για αυτό χρησιμοποιείστε την παρακάτω εντολή:
root@bt:~/Desktop# java -jar sqlsentinel.jar
Πηγή
