Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Nouvelle version de SQL POWER INJECTOR, nouvelles fonctions

Par Ludovic Blin, secuobs.com
Le 25/06/2006


Résumé : Une nouvelle version de l’outil SQL Power Injector, destiné à faciliter la recherche d’injection SQL, vient d’être publiée. Au chapitre des nouveautés, entre autres, le support de Sybase et de SSL.



Une nouvelle version de l’outil SQL Power Injector, destiné à faciliter la recherche d’injection SQL, vient d’être publiée. Au chapitre des nouveautés, entre autres, le support de Sybase et de SSL.

Alors que les vulnérabilités dans les systèmes informatiques se déplacent de plus en plus des infrastructures vers les applicatifs, les injections SQL représentent de plus en plus une technique incontournable que tout bon consultant en sécurité se doit de maîtriser pour pouvoir effectuer les tests de pénétration les plus efficaces possibles.

Pour pouvoir optimiser le temps passé à la recherche de ces injections SQL et éviter d’avoir à taper des centaines de requêtes à la main dans un classique navigateur, il est utile d’utiliser un outil comme SQL Power Injector.

Ce dernier, qui est distribué gratuitement sous la licence CAL (Clarified Artistic Licence) de la Free Software Foundation. Précisons que cette licence induit un régime peu favorable vis-à-vis de l’inclusion du code protégé dans des outils commerciaux.

La nouvelle version, la 1.1, sortie au milieu du mois de juin apporte quelques améliorations à cet outil. Ainsi, les bases de données Sybases sont maintenant supportées (au coté d’Oracle, SQL Server et MySQL) et il est possible d’utiliser SQL Power Injector via une connexion SSL.

Une fonction d’auto-détection du langage de la page web visée à été ajoutée, et les requêtes envoyées ont maintenant un champ User-Agent correspondant à Internet Explorer 6.

Cet environnement d’exploitation d’injections SQL est disponible sous la forme d’un package MSI ou d’une archive contenant le code source, pour les architectures Windows. Il nécessite la version 2.0 de l’environnement .NET.

lien