Testez votre site Web pour l’attaque par injection SQL et empêchez-le d’être piraté.

24 août 2023 cybersécurité
ransomware

Étant donné que la base de données SQL (langage de requête structuré) est prise en charge par de nombreuses plates-formes Web (PHP, WordPress, Joomla, Java, etc.), elle pourrait potentiellement cibler un grand nombre de sites Web. Donc, vous voyez, il est essentiel de vous assurer que votre site Web d’entreprise en ligne n’est pas vulnérable à SQLi, et ce qui suit vous aidera à en trouver.

Notes: L’exécution d’une injection SQL génère une bande passante réseau élevée et envoie beaucoup de données. Assurez-vous donc que vous êtes le propriétaire du site Web que vous testez.

suIP.biz

Détection des failles d’injection SQL en ligne par suIP.biz prend en charge les bases de données MySQL, Oracle, PostgreSQL, Microsoft SQL, IBM DB2, Firebird, Sybase, etc.

suip

SQLMap le propulse afin qu’il teste les six techniques d’injection.

SQL Injection Test Online

Un autre outil en ligne par Cible du pirate basé sur SQLMap pour trouver lier & erreur vulnérabilité basée sur la requête HTTP GET.

hacker-target

Netsparker

Un scanner de sécurité Web complet prêt pour l’entreprise – Netsparker fait plus que simplement le test de vulnérabilité SQL. Vous pouvez intégrer SDLC pour automatiser la sécurité Web.

netsparker plein écran

Check out this indice de vulnérabilité, qui est couvert par l’analyse Netsparker.

Vega

Vega est un logiciel d’analyse de sécurité open source qui peut être installé sur Linux, OS X et Windows.

vega

Vega est écrit en Java et est basé sur une interface graphique.

Pas seulement SQLi, mais vous pouvez utiliser Vega pour tester de nombreuses autres vulnérabilités telles que:

  • Injection XML / Shell / URL
  • Liste du répertoire
  • Le fichier distant comprend
  • XSS
  • Et bien plus encore …

Vega semble prometteur GRATUIT scanner de sécurité Web.

SQLMap

SQLMap est l’un des populaires open-source des outils de test pour effectuer une injection SQL sur un système de gestion de base de données relationnelle.

sqlmap

Sqlmap énumère les utilisateurs, les mots de passe, les hachages, les rôles, les bases de données, les tables, les colonnes et prend en charge le vidage complet des tables de base de données.

SQLMap est également disponible sur Kali Linux. Vous pouvez consulter ce guide pour installer Kali Linux sur VMWare Fusion.

SQL Injection Scanner

An scanner en ligne par Pentest-Tools test avec OWASP ZAP. Il y a deux options – léger (GRATUIT) et complet (doit être enregistré).

sql-injection-scanner

Appspider

Apparaignée by Rapid7 est une solution de test de sécurité d’application dynamique pour explorer et tester une application Web pendant plus de 95 types d’attaques.

appspider

Le uniques La fonctionnalité d’Appspider appelée validateur de vulnérabilité permet au développeur de reproduire la vulnérabilité en temps réel.

Cela devient pratique lorsque vous avez corrigé la vulnérabilité et que vous souhaitez effectuer un nouveau test pour vous assurer que le risque est corrigé.

Acunetix

Acunetix est un scanner de vulnérabilité des applications Web prêt pour l’entreprise, approuvé par plus de 4000 marques dans le monde. Pas seulement l’analyse SQLi, mais l’outil est capable de trouver plus de 6000 vulnérabilités.

acunetix-sql-scan

Chaque constatation est classée avec des correctifs potentiels, vous savez donc quoi faire pour la corriger. De plus, vous pouvez intégrer le système CI / CD et SDLC, de sorte que chaque risque de sécurité est identifié et corrigé avant le déploiement de l’application en production.

Wapiti

Wapiti est un scanner de vulnérabilité de boîte noire basé sur python. Il prend en charge un grand nombre de détection d’attaques.

  • SQLi et XPath
  • CRLS et XSS
  • Shellshock
  • Divulgation de fichier
  • Falsification de demande côté serveur
  • Exécution de la commande

et plus ..

Il prend en charge les points de terminaison HTTP / HTTPS, plusieurs types d’authentification tels que Basic, Digest, NTLM et Kerberos. Vous avez la possibilité de générer des rapports d’analyse au format HTML, XML, JSON et TXT.

Scant3r

Un docker prêt, rare3r est un scanner léger basé sur Python.

scant3r-demo

Il recherche les potentiels XSS, SQLi, RCE, SSTI à partir des en-têtes et des paramètres d’URL.

Quelle est la prochaine?

Les outils ci-dessus vont tester et vous indiquer si votre site Web présente une vulnérabilité d’injection SQL. Si vous vous demandez comment protégez votre site contre l’injection SQL, alors ce qui suit vous donnera une idée.

L’application Web mal codée est souvent responsable de l’injection SQL, vous devez donc corriger le code vulnérable. Cependant, une autre chose que vous pouvez faire est de mettre en œuvre le WAF (pare-feu d’application Web) devant l’application.

Il y a deux possible comment intégrer WAF à votre application.

  • Intégrer WAF dans le serveur Web – vous pouvez utiliser WAF comme ModSecurity avec Nginx, Apache ou WebKnight avec IIS. Cela serait possible lorsque vous hébergez votre site Web seul, comme dans Cloud / VPS ou dédié. Cependant, si vous êtes sur un hébergement partagé, vous ne pouvez pas l’installer là-bas.
  • Utiliser le WAF basé sur le cloud – probablement, le moyen le plus simple d’ajouter une protection de site consiste à implémenter le pare-feu de site Web. La bonne chose est que cela fonctionnera pour n’importe quel site Web et que vous pouvez le démarrer moins de minutes 10.