Qual è il modo migliore per testare le vulnerabilità di SQL Injection? Manuale o SQLMap?

7

Come parte del mio lavoro, collaudo regolarmente le vulnerabilità delle applicazioni web. Quando si tratta di SQL Injection, la mia metodologia è di iniziare manualmente sfogliando il sito Web e spiderandolo, quindi inviando i parametri che sospetto di interagire con il Database in SQLMap.

Ora, mi chiedo se questo è il modo giusto di cercare SQL Injection? SQLMap sarà in grado di trovare la maggior parte dei tipi di SQL Injection o dovrei ricorrere al test manuale invece?

    
posta Mico 16.05.2016 - 15:13
fonte

2 risposte

5

L'uso di SQLMap sarà utile, poiché analizza le vulnerabilità più note e ti farà risparmiare tempo ed efficienza. Ma la più grande minaccia è l'immaginazione e l'abilità di hacker di sfruttare qualcosa di più complesso e insolito di quanto SQLMap possa trovare. Per me, il modo migliore per verificare le vulnerabilità di SQL injection e ancora più tipi di vulnerabilità è pensare subito. Diventa l'attaccante, non il difensore. Questi strumenti (come SQLMap) fanno parte della soluzione, ma non la soluzione.

    
risposta data 16.05.2016 - 15:57
fonte
1

Penso che dovresti controllare manualmente le vulnerabilità di SQL Injection, perché hai più probabilità di rilevare una vulnerabilità, inoltre acquisisci più esperienza come professionista della sicurezza delle informazioni. D'altra parte, non è opportuno fidarsi di strumenti come SQLMap; in primo luogo, uno strumento non ha l'esperienza e la conoscenza di un essere umano, uno strumento è limitato a utilizzare diversi tipi di esplosioni di SQL Injection, quindi se si rileva una vulnerabilità di SQL Injection manualmente, è possibile acquisire dati da utilizzare in un processo automatizzato con SQLMap, in questo modo, è possibile sfruttare le proprie conoscenze per rilevare le vulnerabilità di SQL Injection e come utilizzare SQLMap per scopi specifici; in secondo luogo, l'utilizzo di SQLMap senza una revisione manuale precedente potrebbe essere pericoloso, poiché SQL Injection potrebbe far parte di qualsiasi istruzione di inserimento, eliminazione o aggiornamento, quindi se non si configura correttamente SQLMap, è possibile interrompere l'integrità del database. Ricorda che SQLMap e altri software simili sono solo strumenti e devi acquisire le conoscenze necessarie per utilizzarli correttamente.

    
risposta data 18.05.2016 - 00:16
fonte

Leggi altre domande sui tag