Ciao a tutti
Quando facevo pen testing la parte pi? rognosa era di testare ogni pagina web alla ricerca di sql injection. Se il sito era molto grande, questa parte portava via molto tempo. Cosi ho deciso di scrivere un tool che permettesse di effettuare questa operazione in automatico. Non ? comunque un tool di exploiting delle sql injection, per quello c'? gi? sqlmap et simila. Non so se esistono gi? programmi del genere, se esistono ho perso tempo ma ho imparato qualcosa in fatto di programmazione(che non fa mai male :) ): Dopo 5 giorni di coding ho rilasciato oggi la prima versione 0.1 BETA di SQLSentinel all'indirizzo http://sourceforge.net/projects/sqlsentinel/ E' una release un po povera, nel senso che per ora si limita a testare i parametri get dell'url aggiungendoci un ' e verificando se nella pagina web si presenta un errore SQL. Versione 0.1 feature: -Crawler web integrato che permette l'indicizzazione ricorsiva automatica del sito target -Un sql error finder che testa ogni parametro get della pagina passata dal crawler e cerca di trovare errori di validazione che generino errori sql -Modulo per il salvataggio di report pdf dei risultati trovati Nella versione 0.2 vorrei aggiungerci la ricerca anche la ricerca e il testing dei form(e quindi delle variabili passate via post), migliorare l'attuale algoritmo di validazione dei parametri get(magari aggiungendoci test pi? approfonditi che solo l'apice) e di snellire l'algoritmo dello spider web. Cerco qualche volontario che mi dia una mano nello sviluppo, dato che con il lavoro posso dedicarci poco tempo. E' sufficente la conoscenza del linguaggio di programmazione Java e delle tecniche di base di sql injection. Grazie Un saluto Luca Magistrelli
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
