sqlninja és una eina especialitzada per a explotar les vulnerabilitats d'injecció SQL a les aplicacions web que fan servir Microsoft SQL Server al backend. L'objectiu principal es donar accés remot al servidor de base de dades vulnerable. Inclou funcions per a la determinació de la versió de SQL Server, realització d'atacs de força bruta de l'usuari 'sa', creació de xp_cmdshell personalitzat en el cas que l'original hagi estat esborrat, etc…
S'integra amb el Metasploit 3 per donar una interfície gràfica del servidor vulnerable. Hi ha altres demos disponibles.
Aquesta versió incorpora el suport per a proxys, permet enviar més de 64 KB, escalació de privilegis gràcies al segrest de tokens, etc…
[7Safe] Hacking Oracle from the web: Exploiting SQL Injection from Web Applications és un document que explica les tècniques per explotar les vulnerabilitats d'injecció SQL contra base de dades Oracle.
This paper discusses the exploitation techniques available for exploiting SQL Injection from web applications against the Oracle database. Most of the techniques available over the Internet are based on exploitation when attacker has interactive access to the Oracle database, i.e. he can connect
to the database via a SQL client. While some of these techniques can be directly applied when exploiting SQL injection in web applications, this is not always true. Unlike MS--SQL, Oracle neither supports nested queries, nor has any direct functionality like xp_cmdshell to allow execution of operating system commands. Extraction of sensitive data from a back-end database by exploiting SQL injection in Oracle web applications is well known. Performing privilege escalation and executing operating system commands from web applications is not widely known, and is the subject of this paper.
GreenSQL és un tallafocs específic per a la protecció de servidors de base de dades (MySQL i PostgreSQL) contra atacs d'injecció SQL. Actua com un proxy d'accés a la base de dades, filtrant els possibles atacs:
Arquitectura de GreenSQL
Disponible per a CentOS 5.4, Debian 5.0, Fedora 12, Ubuntu 8.10 i 9.04 (per a altres distribucions, cal compilar el codi).
Oracle Security Tools (GUI) és una eina per a l'avaluació de la seguretat de servidors de bases de dades Oracle (8i, 9i i 10g). Verifica possibles carències de seguretat que poden ser utilitzades per augmentar els permisos dels usuaris, l'existència de comptes amb contrasenya per defecte, possibilitat d'execució d'ordres del sistema operatiu, verificació de les connexions d'usuari i la seva activitat, execució de codi PL/SQL… El codi font està disponible.
