SqlMap

De Viquipèdia
Salta a la navegació Salta a la cerca

SqlMap és una eina de codi obert per a proves de penetració que automatitza el procés de detectar i explotar les vulnerabilitats d'injecció SQL.[1] Amb aquesta eina és possible detectar els diferents tipus de base de dades que donen serveis a pàgines web i aplicar de forma automatitzada una col·lecció de proves d'injecció de comandes que la base de dades interpretaria com a ordres en cas de ser vulnerable l'aplicació web a una injecció SQL.[2]

Principals característiques[modifica]

  • SqlMap és una aplicació programada amb llenguatge Python fet que permet ser executada en una gran diversitat de sistemes operatius.
  • Disposa de suport per gran varietat de bases de dades: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB i HSQLDB.
  • Permet la connexió directa contra la base de dades, sense l'explotació d'una injecció SQL.
  • Inclou sis tècniques diferents d'injeccions SQL: boolean-based blind, time-based blind, error-based, UNION query-based, stacked queries i out-of-band.
  • Pot enumerar els usuaris, hash de contrasenyes, privilegis, bases de dades, taules i columnes.
  • Reconeixement automàtic de diferents hash de contrasenyes i suport per un atac contra diccionari.

Referències[modifica]

  1. «Sqlmap tutorial for beginners – hacking with sql injection» (en anglès). BinaryTides, 07-08-2013. [Consulta: 25 novembre 2014].
  2. «SQL Injection» (en anglès). Microsoft, 15-02-2011. [Consulta: 25 novembre 2014].

Enllaços externs[modifica]