SQL Injection in un paio di “clic”

Oggi è uscito un interessante ARTICOLO su Darknet: si parla di Priamos. Grazie a questo programma è possibile ricercare e sfruttare delle vulnerabilità SQL Injection.

Come recita Wikipedia “La SQL injection è una tecnica dell’hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l’inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all’interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l’Sql Injection permette al malintezionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d’accesso) e di visualizzare e/o alterare dati sensibilili”.

Inutile dire che Priamos è stato ideato per testare la sicurezza delle proprie applicazioni web (e non di quelle altrui…).

E’ possibile vedere Priamos in azione da QUESTA DEMO. In pratica, come potete appunto vedere dalla demo, Priamos permette di recuperare i nomi dei database, le tabelle presenti all’interno di tali database, nonché i dati presenti nelle varie colonne delle tabelle.

Per chi non avesse un proprio database su cui testare il programma c’è una soluzione: SCARICARSI una pagina web vulnerabile con relativo database.

UPDATE (22/06/2007): un articolo di Security Hacks rivela i 15 migliori SQL injection scanner. Troviamo per esempio SQL Ninja, con tanto di video dimostrativo, che può essere installato anche su sistemi operativi Linux.

~ di 2BFree su giugno 8, 2007.

5 Risposte to “SQL Injection in un paio di “clic””

  1. Molto bello Angel-A consigliatissimo😉 un altro che ti consiglio ma di genere differente è Equilibrium, io l’ho trovato spettacolare anche se ti ricorderà un pò matrix per i combattimenti🙂

  2. Lì proverò, grazie!
    P.S. Per chi faticasse a seguirci ci stiamo riferendo a QUESTO (O.T.😆 )

  3. …ma Priamos è solo per Windows!

    “Priamos è stato ideato per testare la sicurezza delle proprie applicazioni web (e non di quelle altrui…)”. Non credo che questo avvertimento verrà rispettato da molti…🙂

  4. Eh eh, vero phoenix. Conta che io ho anche Windows Vista. Ops.. che vergogna… Scherzi a parte me l’hanno dato col portatile, l’unico software che fin’ora ci ho installato è un AV che ormai sarà decisamente da aggiornare: ho provato il sistema Vista per circa una settimana, tanto per vedere com’era… abbandonato…

    Si può provare ad emulare Priamos su Linux, potrebbe comunque funzionare… O magari a virtualizzare un sistema winzozz su cui installarlo… Se poi esiste un software simile per il pinguino fatemelo sapere😀

    Non so se l’avvertimento sarà seguito, lo spero… quello che so è che il programma è facilmente utilizzabile anche da un principiante; nascondere le tracce di un accesso non autorizzato o roba simile è però arduo anche per chi ha più esperienza… quindi occhio!

  5. ma qst programma non và!mi dà errore nell’aprirlo.suggerimenti?

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger cliccano Mi Piace per questo: