Da pochi giorni è stato annunciato il rilascio della nuova versione di SQLNinja, un tool di penetration testing scritto in Perl e mirato alla verifica delle vulnerabilità su DBMS di tipo Microsoft SQL Server; l’attuale build che risulta essere la 0.1.2 è stata inserita nella Top 15 SQL Injection scanners list.
Il tool, scaricabile da sourceforge, presenta:
- Fingerprinting del server SQL ( versione del server, privilegi utenti ecc..)
- Bruteforcing dell’account di Super-Administrator
- Upload del tool NETCAT
- Creazione di commands shell dirette o inverse sia su TCP che UDP
L’autore ricorda che suddetto tool è in grado di funzionare esclusivamente su sistemi Unix, e attualmente un porting verso sistemi Microsoft non è previsto.
Un attacco SQL Injection per chi non lo sapesse, potrebbe consentire ad un malintenzionato di manipolare in maniera opportuna la base dati sulla quale opera un sito Internet o un’applicazione riuscendo talvolta ad accedere ai dati sensibili. Un’analisi preventiva con tools del genere, sicuramente potrebbe scongiurare pericolosi attacchi dall’esterno.
