Da pochi giorni è stato annunciato il rilascio della nuova versione di SQLNinja, un tool di penetration testing scritto in Perl e mirato alla verifica delle vulnerabilità su DBMS di tipo Microsoft SQL Server; l’attuale build che risulta essere la 0.1.2 è stata inserita nella Top 15 SQL Injection scanners list.
Il tool, scaricabile da sourceforge, presenta:
- Fingerprinting del server SQL ( versione del server, privilegi utenti ecc..)
- Bruteforcing dell’account di Super-Administrator
- Upload del tool NETCAT
- Creazione di commands shell dirette o inverse sia su TCP che UDP
L’autore ricorda che suddetto tool è in grado di funzionare esclusivamente su sistemi Unix, e attualmente un porting verso sistemi Microsoft non è previsto.
Un attacco SQL Injection per chi non lo sapesse, potrebbe consentire ad un malintenzionato di manipolare in maniera opportuna la base dati sulla quale opera un sito Internet o un’applicazione riuscendo talvolta ad accedere ai dati sensibili. Un’analisi preventiva con tools del genere, sicuramente potrebbe scongiurare pericolosi attacchi dall’esterno.
![missione_cybersicurezza_cover[2][3]](https://cdn.pmi.it/9-e3ps13GgmtvDZ2BxlmtkmNTko=/320x172/smart/https://www.pmi.it/app/uploads/2024/03/missione-cybersicurezza-cover23.jpg)
