Scrawlr: herramienta gratuita para detectar vulnerabilidades a inyección SQL

 

 

Enviado por admin el 25 Junio 2008 - 9:53am

Con razón o sin ella, no cabe duda que la infección masiva de cientos de miles de sitios web (la mayoría corriendo IIS y SQL Server) no ha hecho ningún favor a la reputación de Microsoft.

Por eso, a instancias de Microsoft, HP ha desarrollado Scrawlr, una herramienta gratuita que revisa tu sitio web en busca de posibles debilidades que puedan facilitar la inyección de SQL.

Scrawlr tiene, no obstante, algunas limitaciones frente a otras soluciones comerciales de la propia HP: explora un máximo de 1500 páginas, no comprueba formularios (grrr!), no vale para sitios que requieren autenticación, etc...

 

Referencias:

 

Relacionadas:

 

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
mortadelo's picture

Para sitios sencillos

Enviado por mortadelo el 25 Junio 2008 - 10:51am.

Por lo que veo está diseñado para sitios sencillos, es decir, practicamente sitios de un tamanño no muy grande, sin formularios o zonas privadas.

No está del todo mal teniendo en cuenta que ese perfil es el de muchas PYMES que no tienen presupuesto para un Dpto. Informático, por lo que son muy vulnerables a los ataques.... pero hubiese estado mejor si hubieran cubierto todo el abanico incluyendo también a los que les faltan

anónimo's picture

¿No me digas

Enviado por anónimo el 25 Junio 2008 - 11:49am.

¿No me digas que los servidores que no son IIS están a salvo de inyecciones SQL?

admin's picture

No, no te lo digo...

Enviado por admin el 25 Junio 2008 - 12:04pm.

... pero a la vista de lo ocurrido parece claro que sí que facilitan la explotación masiva.

anónimo's picture

Mas vale prevenir....

Enviado por anónimo el 25 Junio 2008 - 12:35pm.

Pasaros por la excelente web de 0x000000 (http://www.0x000000.com) donde se ha tratado el tema (http://www.0x000000.com/?i=556, http://www.0x000000.com/?i=582, http://www.0x000000.com/?i=587) y su solución (http://www.0x000000.com/?i=558, http://www.0x000000.com/?i=567, http://www.0x000000.com/?i=596).

Lamentablemente (o por suerte) sólo en Inglés.

Saludos,
Andy

anónimo's picture

¿No formularios?

Enviado por anónimo el 25 Junio 2008 - 4:53pm.

Y digo yo, si no comprueba los formularios ¿cómo inyecta el código? Porque en mis cortos conocimientos informáticos, es con los formularios como se inyecta.

anónimo's picture

Creo que...

Enviado por anónimo el 25 Junio 2008 - 4:56pm.

admite GET pero no POST.

CapHaddock's picture

¿Es de código abierto?

Enviado por CapHaddock el 25 Junio 2008 - 5:06pm.

... porque no consigo verlo en la primera referencia que indicas.

anónimo's picture

Ni de coña

Enviado por anónimo el 25 Junio 2008 - 5:17pm.

sólo es gratis.

anónimo's picture

Ejemplo de SQL Injection sin formulario

Enviado por anónimo el 1 Julio 2008 - 12:53pm.

No es necesario que el site tenga un formulario, un ejemplos sencillo está
en los sites que listan noticias, productos u otro tipo de datos

Esto es solo un ejemplo ;)
http://www.sitio-victima.com?id_noticia=1 UNION SELECT 1,table_name FROM information_schema.tables--

anónimo's picture

un tanto tendencioso

Enviado por anónimo el 11 Julio 2008 - 10:47am.

No creo que nadie esté libre de las inyecciones SQL, y creo que es más bien un problema del programador. Si este ha puesto las medidas suficientes para que no le pase, da igual sobre qué servidor de aplicaciones esté corriendo, iis, apache o nas. Es como culpar al aire de que haya accidentes aéreos.

Por favor, hay que ser un poquito menos tendenciosos y culpar a cada cual de lo suyo.