| Kriptópolis alojado en |
| Zilos-Veloxia Network |
| Tu mejor defensa: |
| Bufet Almeida |
Scrawlr: herramienta gratuita para detectar vulnerabilidades a inyección SQL
Enviado por admin el 25. Junio 2008 - 10:53.
Con razón o sin ella, no cabe duda que la infección masiva de cientos de miles de sitios web (la mayoría corriendo IIS y SQL Server) no ha hecho ningún favor a la reputación de Microsoft.
Por eso, a instancias de Microsoft, HP ha desarrollado Scrawlr, una herramienta gratuita que revisa tu sitio web en busca de posibles debilidades que puedan facilitar la inyección de SQL.
Scrawlr tiene, no obstante, algunas limitaciones frente a otras soluciones comerciales de la propia HP: explora un máximo de 1500 páginas, no comprueba formularios (grrr!), no vale para sitios que requieren autenticación, etc...
Referencias:
Relacionadas:
- Microsoft SQL Injection Prevention Strategy.
- Preventing SQL injection.
- Microsoft identifies tools to address SQL injection attacks.
- New tools enhance SQL Server security.
- Microsoft Security Advisory (954462): Rise in SQL Injection Attacks Exploiting Unverified User Data Input.
- The Microsoft Source Code Analyzer for SQL Injection tool is available to find SQL injection vulnerabilities in ASP code.
- Using UrlScan.
Para sitios sencillos
Por lo que veo está diseñado para sitios sencillos, es decir, practicamente sitios de un tamanño no muy grande, sin formularios o zonas privadas.
No está del todo mal teniendo en cuenta que ese perfil es el de muchas PYMES que no tienen presupuesto para un Dpto. Informático, por lo que son muy vulnerables a los ataques.... pero hubiese estado mejor si hubieran cubierto todo el abanico incluyendo también a los que les faltan
¿No me digas
¿No me digas que los servidores que no son IIS están a salvo de inyecciones SQL?
No, no te lo digo...
... pero a la vista de lo ocurrido parece claro que sí que facilitan la explotación masiva.
Mas vale prevenir....
Pasaros por la excelente web de 0x000000 (http://www.0x000000.com) donde se ha tratado el tema (http://www.0x000000.com/?i=556, http://www.0x000000.com/?i=582, http://www.0x000000.com/?i=587) y su solución (http://www.0x000000.com/?i=558, http://www.0x000000.com/?i=567, http://www.0x000000.com/?i=596).
Lamentablemente (o por suerte) sólo en Inglés.
Saludos,
Andy
¿No formularios?
Y digo yo, si no comprueba los formularios ¿cómo inyecta el código? Porque en mis cortos conocimientos informáticos, es con los formularios como se inyecta.
Creo que...
admite GET pero no POST.
¿Es de código abierto?
... porque no consigo verlo en la primera referencia que indicas.
Ni de coña
sólo es gratis.
Ejemplo de SQL Injection sin formulario
No es necesario que el site tenga un formulario, un ejemplos sencillo está
en los sites que listan noticias, productos u otro tipo de datos
Esto es solo un ejemplo ;)
http://www.sitio-victima.com?id_noticia=1 UNION SELECT 1,table_name FROM information_schema.tables--
un tanto tendencioso
No creo que nadie esté libre de las inyecciones SQL, y creo que es más bien un problema del programador. Si este ha puesto las medidas suficientes para que no le pase, da igual sobre qué servidor de aplicaciones esté corriendo, iis, apache o nas. Es como culpar al aire de que haya accidentes aéreos.
Por favor, hay que ser un poquito menos tendenciosos y culpar a cada cual de lo suyo.
Opinar