Quels sont les outils automatisés existants ?
Réponses
Trop de publicités?
sqlmap : un outil d'injection SQL
sqlmap est un outil d'injection SQL automatique développé en Python. Son but est de de détecter et de tirer profit des vulnérabilités dans les applications web. web. Une fois qu'il a détecté une ou plusieurs injections SQL sur l'hôte cible cible, l'utilisateur peut choisir parmi une parmi une variété d'options pour effectuer une une analyse approfondie du système de gestion de base de données back-end, récupérer le SGBD l'utilisateur de la session et la base de données, énumérer utilisateurs, les hachages de mots de passe, les privilèges, bases de données, vider des tables/colonnes l'ensemble des tables/colonnes du SGBD, exécuter ses propres ses propres instructions SQL SELECT, lire fichiers spécifiques sur le système de fichiers et et bien plus encore.
John Millikin
Points
86775
David Robbins
Points
6773
Il existe plusieurs plugins pour Firefox : HackBar , Injection SQL 1.2
MrZebra
Points
6508
Un outil commercial automatisé est Alerte Scan de McAfee. Ils explorent quotidiennement votre site et signalent toute vulnérabilité - pas seulement l'injection SQL, mais aussi des éléments tels que des ports qui ne devraient pas être ouverts ou des versions non sécurisées de logiciels exécutés sur le serveur.
Galghamon
Points
1421
Pourquoi ne pas simplement éviter d'utiliser les techniques qui permettent les attaques par injection SQL ?
Si vous utilisez Prepared Statements au lieu de Dynamic SQL, vous êtes en or - les attaques par injection SQL deviennent impossibles, et vous obtenez de meilleures performances par-dessus le marché ! N'utilisez jamais une chaîne fournie par l'utilisateur dans le SQL dynamique ! C'est la seule façon d'être certains que votre BD est à l'abri des attaques par injection. Même les outils automatisés ont des angles morts - après tout, ils sont créés par des humains...
Ressource utile : Tutoriel Oracle sur la défense contre les attaques par injection SQL
