PRUEBAS DE SQL INJECTION CON SQLMAP
Cómo probar la vulnerabilidad de inyección SQL (SQLi) en aplicaciones web utilizando
SQLMAP (una suite de pruebas de penetración) en Kali Linux.
¿Qué es la inyección SQL?
Es una técnica de inyección de código que permite ejecutar consultas SQL maliciosas. Esto
puede controlar un servidor de bases de datos detrás de una aplicación web. Los
atacantes pueden acceder a la información almacenada en las bases de datos.
También pueden usar la inyección SQL para agregar, modificar y eliminar registros en
la base de datos.
¿Qué es SQLMap?
sqlmap es un software de pruebas de penetración de código abierto que automatiza el
proceso de detección y explotación de vulnerabilidades de inyección SQL y el control
de servidores de bases de datos.
Comencemos…
¿Dónde podemos usar SQLMap?
Si observa una URL web con el formato ".php?id=", el sitio web podría ser vulnerable a este
modo de inyección SQL y un atacante podría acceder a la información de la base de
datos.
�Nota: Los desarrolladores están usando reglas de reescritura de URL en .htaccess para
“.php?id=” a “/”, lo que no significa que sea seguro.
Requisitos
• Kali Linux
• Aplicación web vulnerable
• SQlmap
Ejemplo como el siguiente:
• [Link]/[Link]?artist=1
Una prueba sencilla para verificar si su sitio web es vulnerable sería reemplazar el valor en
el parámetro de solicitud GET con un asterisco (').
• [Link]/[Link]?artist=1′
Pero, en las reescrituras de URL, esta URL [Link]/[Link]?artist=1 se
convertirá en [Link]/1, {el id está oculto y el parámetro 1 se usa en
la URL}
Para las pruebas de inyección SQL en este tipo de URL, simplemente usamos nuestras cargas
útiles como antes, pero después del parámetro:
� • [Link]/1'
Ahora se utiliza sqlmap para probar una aplicación web en busca de una vulnerabilidad de
inyección SQL
