Tout le monde connais les attaque par injection sql , Cependant tout le monde ne connais pas les outils de détection et d’exploitations de ces failles . Ci dessous la liste de 10 outils de détection et d’exploitation, dans un prochain article je ferai un tutorial de l’outil Absinthe.
Absinthe – absinthe est un outil (Windows) , avec interface graphique , qui automatise le processus d’exploitation et récupération de nom de table ,utilisateur ,schéma et le contenu d’une base de données qui est vulnérable à Injection SQL aveugle ou normal .absinthe supporte l’utilisation de proxy l’ajout de cookies. Télécharger Absinthe (MS SQL Server, MSDE, Oracle, Postgres)
SQLIer – SQLIer prend une URL et tente de déterminer toutes les informations nécessaires à l’exploitation de la vulnérabilité d’injection SQL par lui-même, ne nécessitant aucune intervention de l’utilisateur . Télécharger SQLier
SQLbftools – SQLbftools est une des rares collections d’outils MySQL pour récupérer des informations au moyen d’une attaque par injection SQL aveugle. Télécharger SQLbftools (Mysql)
SQLBrute – SQLBrute est un outil pour brute-forcer les données à l’aide d’injection SQL aveugle. Il utilise l’exploitation basé sur le temps ainsi que les erreurs de Microsoft SQL Server et Oracle. Il est écrit en Python (télécharger activePyton ), utilise le multi-threading, et ne nécessite pas des bibliothèques supplémentaires. Télécharger SQLBrute (sql server , Oracle )
BobCat – Bobcat est un outil d’aide aux auditeurs de sécurité à tirer pleinement parti de vulnérabilités d’injection SQL. Il est fondé sur la recherche AppSecInc .il Peut lister les Serveurs liées, le schéma de la base de données, et permet la récupération de données à partir de n’importe quel table auquel l’application accède. Télécharger BobCat (sql server)
SQLMap – sqlMap est un outil d’exploitation automatique d’injection SQL aveugle, développé en Python, capable d’effectuer la gestion de base de données, fingerprinting, énumérer l’ensemble de bases de données distantes et bien plus encore. Télécharger sqlMap (MySQL, Oracle, PostgreSQL, Microsoft SQL Server)
SQL Injection Brute-forcer – SQLibf est un outil pour automatiser l’action de détection et d’exploitation des vulnérabilités d’injection SQL. SQLibf travaille en mode normale et aveugle. Il marche par des opérations sql logique et simple visant à déterminer le niveau d’exposition de l’application. Télécharger SQL Injection Brute-Forcer
SQL Injection Pen-testing Tool – L’outil d’injection SQL est une interface graphique visant à examiner la base de données par le biais des vulnérabilités dans les applications Web. Télécharger SQL Injection Pen-testing Tool
SQID – Télécharger SQID
NGSS SQL Injector – NGSS SQL exploite les vulnérabilités d’injection SQL sur les serveurs de bases de données pour avoir accès aux données stockées. Il prend actuellement en charge les bases de données: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Télécharger NGSS SQL Injector
Et encore : SQLiX, Chorizo-scanner , Acunetix , N-Stalker , ISR-sqlget .
kira