blog.dennyroger.com.br

Boa tarde!

Para quem tem interesse em testar alguma aplicação desenvolvida internamente ou testar uma solução de terceiro que está instalada na sua empresa, segue uma excelente ferramenta para a realização de teste de invasão em aplicações. A ferramenta foca no ataque de SQL Injection. Recomendo também a utilização pelas equipes de auditoria de sistemas.

Abraços, Denny Roger (denny@epsec.com.br)

Por Raviv Raz

I wrote a proof of concept tool, based on the ASPROX bot that has been attacking millions of SQL-injection prone web sites running MS-SQL servers at their backends.

Given a list of URLs that can be retrieved using various crawlers found on the web, it tests for SQL injection via URL parameters. In case one works, it attemps to either inject defacement content as entered by the user or alternatively to run an OS command on the SQL server.

- Injector win32 executable
- Injector source code (Python) + GPL license

Main Features:

1 - Written in Python
2 - Uses the robust CURL library - fastest HTTP request crafter in the world
3 - Encodes payload query in binary format to encapsulate internal SQL syntax and evade IDS systems
4 - URL encodes all content to comply with standard GET requests
5 - Allows usage of HTTP proxy

ToDo:

1 - Parallelize URL attacks
2 - Attack web forms with POST requests
3 - Build GUI (IronPython…?)

Feature requests and bug reports are welcome at:

ravivr_at_gmail_dot_com

Fonte: http://chaptersinwebsecurity.blogspot.com/2008/10/automatic-web-site-defacement.html.

Sem comentários »