Que es SQL Injection (Inyeccion de SQL) ?
Resumido y una forma de aprovechar vulnerabilidades (descuidos del desarrollador) en las consultas a bases de datos SQL (MySQL, SQLLite, etc…) mas informacion.
En Security-Hacks, han publicado una lista de herramientas destinadas a encontrar y explotar vulnerabilidades de inyección de SQL.
- SQLIer
- SQLbftools
- SQL Injection Brute-forcer
- SQLBrute
- BobCat
- SQLMap
- Absinthe
- SQL Injection Pen-testing Tool
- SQID
- Blind SQL Injection Perl Tool
- SQL Power Injector
- FJ-Injector Framwork
- SQLNinja
- Automagic SQL Injector
- NGSS SQL Injector
Para evitar este tipo de ataques se debe hacer uso de consultas parametrizadas o funciones que el lenguaje de programación provea para este fin, en lo posible no debemos reinventar la rueda y hacer funciones que algunas veces no sirven de nada.
P.D. cuiden mucho sus consultas y las comillas como las usan en las mismas.
Via Mundo Informatico (jorgesaavedra [at wp])
Corre la voz con tus amigos/contactos:
Manual BSQL Hacker (para testear aplicaciones web en busca de bsql inyection)
y tutorial de Absinthe (para testear aplicaciones web en busca de bsql inyection)
http://informaticanova.com/NOTICIAS-SEGURIDAD-INFORMATICA/bsql-hacker-manual-en-espanol.html
http://informaticanova.com/NOTICIAS-SEGURIDAD-INFORMATICA/tutorial-absinthe-blind-sql-inyection-inyecciones-ciegas-sql.html