jueves, 23 de noviembre de 2006

Herramientas SQL Injection

Listado al canto:

  • sqlbf: sin duda alguna, la primera, la mejor. Los genios hacen genialidades.
  • sqlinjector: de NGSSoftware, a dia de hoy, un poco desfasada.
  • bfsql blind sql injection para mysql (la mia, vamos). un TODO infinito. y un BUGS infinito++
  • sqlpowerinjector: mysql, oracle, sql-server, postgresql, ¿sybase?.. sql injection normal y blind. Jamas la he conseguido hacer funcionar.
  • sqlmap: blind para mysql y postgresql
  • sqlninja: injection para sql-server.
  • bobcat: para sql-server. no está mal, pero hay que montar un MSDE para hacerla rular... y le cuesta!
  • absinthe: : postgresql, oracle, sql-server, ¿sybase?... bastante maja, aunque tiene un par de fallos que podrian mejorarse...
  • sqlbrute: sql-server y oracle. blind sql injection para dumpear tablas. no va todo lo fina que deberia.
  • automagic: automatización para explotar sql-server.
  • webinspect - sql injector: Comercial, solo disponible en el paquete de webinspect, oracle, sql server, sybase... realmente buena.
  • SQLIBF: realmente buena, muy potente. nice work!
  • Priamos SQLdump de sql-server. Muy sencillo/eficaz en mi experiencia.
  • FG-Injector: un poco liosa en su uso, pero eficiente.
  • SQLDumper:No la he testado aún.
  • SQL Injection Tool: Sin probar.
  • ISR-sqlget. Sin probar
  • SQLix De OWASP, bastante simple.
  • SQLID En ruby, no me convence
  • SQLier script en bash... ehm..
  • Pangolin En los 3 SQL que he probado, no ha funcionando en ninguno, eso si, tiene buena pinta.
  • Squeeza Para MSSQL, liberado en bh2007, ataque basado en tiempo.
  • BSQLHacker Funciona bajo windows, para MSSQL, Oracle y en beta MySQL, basado en tiempos.
  • Marathon Tool de nuestros amigos de ElLadoDelMalisimo, basada en tiempo, d16, una pasada.
  • Witool, koreana, SQLServer y Oracle. No testeada