SQLSentinel : sécurisez vos applications web en détéctant les possibles failles SQL Injection

SQLSentinel

Je n’ai pas pour habitude de publier ici, des articles qui traitent des outils de sécurité/hacking (pentest par exemple), de peur de voir des scripts kiddies tomber sur ces billets et foutre le bordel un peu partout. Cependant, je vais faire une exception pour le logiciel que je vais vous présenter aujourd’hui.

Sqlsentinel est un logiciel libre écrit en java, qui scanne pour vous les failles de type SQL Injection (sqli) dans une application Web. Pour rappel, “une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité1.

Avec le DDoS, le sqli est l’une des attaques favorites des Anonymous et de nombreux scripts kiddies. Une popularité qui s’explique par les outils qu’on peut trouver facilement sur le web, qui automatisent ces attaques. Ainsi, même un néophyte qui n’a jamais touché à un ordinateur, peut compromettre la sécurité d’un site web juste en suivant le readme d’un programme comme sqlmap par exemple.

Et c’est là tout l’intérêt d’un logiciel comme SqlSentinel, pouvoir détecter ces failles avant que des gamins excités vient ruiner votre travail. SqlSentinel est très facile à utiliser, tout ce que vous à faire est de rentrer l’url du site web que vous souhaitez diagnostiquer, une fois cette opération est achevée, vous pouvez générer un fichier pdf contenant toutes les url vulnérables. Je tiens à préciser que SqlSentinel est encore très jeune projet (version 0.1), donc vous allez sûrement rencontrer des bugs, alors un peu d’indulgences et n’hésitez pas à remonter ces bug à l’auteur.

Pour tester SqlSentinel, téléchargez le depuis cette page, puis décompressez l’archive dans un a dossier :

unzip SQLSentinel_v_0.1_beta.zip -d ~/SQLSentinel

Ensuite déplacez vous dans le répertoire que vous venez de créer et qui contient SQLSentinel et exécutez en tapant la commande suivante :

java -jar sqlsentinel.jar

SQLSentinel

1 source : wikipedia

No related posts.

flattr this!

Vus : 1662
Publié par crowd42 : 370