SQL Injector MT, un piccolo tool per l’exploit di falle Blind SQL Injection
Dopo un lungo sviluppo ho deciso che il mio personalissimo tool, da me con poca fantasia denominato SQL Injector MT, è pronto per essere pubblicato e donato alla rete. Ce ne sono tanti di questi programmini, più o meno complessi, con o senza interfaccia grafica, con o senza il supporto al multithreading. Quindi, vi chiederete voi, a cosa serviva farne un altro?
Firefox HackBar 1.4.2 + supporto Oracle/PostgreSQL CHR()
AGGIORNAMENTO 30/06/09:
Con il rilascio di Firefox 3.5 è stata rilasciata anche la versione 1.4.2 di HackBar che introduce alcune interessanti novità tra cui nuove funzioni di conversione da caratteri ASCII a numeri esadecimali e una funzione di rimozione degli spazi. Ho pensato quindi di aggiornare anche la mia modifica che ora è quindi compatibile con l'ultima versione del browser Mozilla. Potete scaricare HackBar 1.4.2 Modded da qui.
Gli appassionati di sicurezza delle Web Applications conosceranno sicuramente l'estensione HackBar per Firefox. L'ultima versione ufficiale risale al 18 Giugno scorso, praticamente un anno fa, ed è la 1.3.2. La potete scaricare da qui. Si tratta di un'estensione che si integra sotto la barra degli indirizzi e che aiuta nel testing di applicazioni Web quando si è alla ricerca di bug come SQL Injection o XSS. Una delle caratteristiche rendono veramente interessante questa estensione è la possibilità di selezionare il testo contenuto nell'URL che si vuole testare ( o anche nei parametri di tipo POST ) e di offuscarlo tramite le funzioni dei vari DBMS come ad esempio CHAR() di MySQL. Ad esempiSQo la parola "ciao" potrebbe essere scritta in MySQL nel seguente modo:
CHAR(99, 105, 97, 111)
dove ogni numero rappresenta il codice ASCII del carattere corrispondente espresso come numero decimale.