Você está na página 1de 2

Instalando e configurando o SQLMAP no

Windows 7
Andr Barbieri Redes de Computador SENAC

SQLMAP: Ferramenta de cdigo fonte aberto desenvolvida em


python para teste de penetrao que detecta e explora as
vulnerabilidades a injeo de SQL.
Injeo SQL ou SQL Injector: Ameaa de segurana que se
aproveita de falhas em sistemas que interagem com bases de
dados via SQL.

Passos para Instalao e funcionamento do Sql Map.


1- Fazer
download
do
SqlMap
pelo
link
https://github.com/sqlmapproject/sqlmap/zipball/master.
2. Fazer download do Python 2.7.6 pelo link
http://www.python.org/ftp/python/2.7.6/python2.7.6.amd64.msi e instalar.
3. Para facilitar os procedimentos ser necessrio extrair o
arquivo zip na raiz da unidade C e renomear o diretrio
para sqlmap como, por exemplo: c:/sqlmap/
4. Abra o prompt de comando e acesse o diretrio
C:/sqlmap/.
4.1. Para colocar o sqlmap em funcionamento digite o
seguintes comandos:
Testar a vulnerabilidade e encontrar as databases:
sqlmap.py u link do site dbs

Visualizar as tabelas:

sqlmap.py

-u

link

do

site

-D

sqlmap.py

-u

lnk

do

site

-D

nomedadatabase tables

Visualizar as colunas:

nomedadatabase -T tabelaquevocequer columns

Buscar informao da coluna:

sqlmap.py -u link do site -D

nomedadatabase -T tabelaquevocequer -C colunaquevocequer --dump


Obs: De preferncia sites com terminaes

.php?id=

Algumas informaes importantes para evitar os


ataques SQL.
Parametrizao das consultas: Quando a parametrizao SIMPLE est em vigor, voc no
pode controlar quais consultas so parametrizadas e quais no so. No entanto, voc pode
especificar que todas as consultas em um banco de dados sejam parametrizadas definindo a
opo de banco de dados PARAMETERIZATION como FORCED. Esse processo denominado
parametrizao forada.
Usar stored procedures: coleo de comandos em SQL para dispensa mento de Banco de
dados. Encapsula tarefas repetitivas, aceita parmetros de entrada e retorna um valor de
status (para indicar aceitao ou falha na execuo). O procedimento armazenado pode
reduzir o trfego na rede, visto que os comandos so executados diretamente no servidor.
Alm de melhorar a performance, criar mecanismos de segurana entre a manipulao dos
dados do Banco de Dados.
Limitar privilgio ao acesso: Manter apenas os privilgios e acessos necessrios.
Referncias:
Instalao
sqlmap:
vulnerabilidades-sqli/

http://inf0security.wordpress.com/2012/12/24/usando-sqlmap-em-

Comandos Sqlmap: http://pastebin.com/9CHBMjVq


Sql Injector: http://wiki.locaweb.com.br/pt-br/Como_se_proteger_do_SQL_Injection