• Tweet

Es una herramienta gratuita que provee a los pentesters y desarrolladores, la capacidad de demostrar vulnerabilidades de inyección de SQL en aplicaciones web.

NT OBJECTives, un proveedor del software de seguridad automatizada, completa y precisa en aplicaciones web, servicios y SaaS, hoy anuncio la disponibilidad de NTO SQL Invader, una herramienta gratuita que permite a los pentester y desarrolladores la capacidad de, rápidamente y fácilmente, explotar y demostrar vulnerabilidades de inyección de SQL en aplicaciones web. La mayoría de las organizaciones no entienden que las vulnerabilidades de inyección de SQL ponen sus datos sensibles en riesgo, y éste ha sido el método predominantemente usado en ataques de alto perfil de aplicaciones web en este año, con millones de sitios atacados en el 2011.

A pesar del hecho que la inyección de SQL está bien documentada y hay herramientas que descubren estas vulnerabilidades, es aún difícil el determinar si una vulnerabilidad puede ser explotado, ya que la mayoría de las herramientas para inyección de SQL que existen son ejecutadas por línea de comandos, no tienen interfaz de usuario intuitiva o ya no están soportadas. Sin la capacidad de demostrar claramente la explotación de una vulnerabilidad, los esfuerzos de corrección se retrasan y las fricciones entre los equipos de seguridad y desarrollo surgen. NTO SQL Invader permite a los pentester y desarrolladores rápidamente y fácilmente aprovechar una vulnerabilidad para ver la lista de registros, tablas y cuentas de usuarios en la base de datos.

Con unos simples clics en NTO SQL Invader, un usuario puede explotar una vulnerabilidad de aplicación web que fue descubierta manualmente, o de la herramienta Aplicación Dinámica para Pruebas de Seguridad (DAST – Dynamic Application Security Testing) como NTOSpider. NTO SQL Invader trabaja como una herramienta independiente y también incluye integración con la tecnología de reportes de NTA Spider para asistir a pentester y desarrolladores identificar y validar vulnerabilidades descubiertas. Mientras se revisan y confirman los resultados de NTOSpider, los usuarios pueden aprovechar NTO SQL Invader para proporcionar una prueba de concepto real de la vulnerabilidad de inyección de SQL descubierta.

“La identificación precisa de la vulnerabilidad es una tarea crucial y difícil, pero es sólo es la mitad de la batalla”, dice Dan Kuykendall, co-CEO y Director de Tecnología de NT OBJECTives. “Queremos apoyar a las organizaciones en sus análisis y esfuerzos de remediación, proporcionando una herramienta de uso fácil que permite a los pentester demostrar cómo estas vulnerabilidades pueden ser explotadas. Sentimos que fue importante proporcionar una herramienta gratuita y útil para nuestros clientes y la comunidad en general”.

Descripción de los beneficios:

• Facilidad en el uso y validación - La interfaz de NTO SQL Invader permite a los usuarios simplemente pegar la petición inyectable, que se ha encontrado por la herramienta DAST, en NTO SQL Invader y después seleccionar “Iniciar detección de inyección” para identificar el parámetro de entrada inyectable. Los usuarios pueden alimentar más una petición más detalladamente directamente en NTO SQL Invader desde el informe de NTOSpider o BurpSuite. Una vez que la inyección se identifico, el usuario está en control de cuanta información se obtiene, todo desde la simple interfaz GUI.
• Presentación de evidencia clara – NTO SQL Invader provee la evidencia requerida para demostrar que la vulnerabilidad verdaderamente existe con un método pulido que puede aprovecharse en reuniones ejecutivas y discusiones de corrección. Los usuarios que ejecutan NTO SQL Invader son capaces de mostrar claramente la adquisición de datos desde la base de datos en una forma que lo hace fácil de entender, tanto para los técnicos como ejecutivos. Algunas veces solo se toma una captura de pantalla o video para silenciar a los escépticos en la validez de una vulnerabilidad. Mientras que las herramientas por línea de comandos son efectivas, no presentan la información pulida, organizada o clara en una presentación.
• Datos de registro transportable -  Todos los datos recolectados desde NTO SQL Invader pueden ser guardados en un archivo CSV para que los informes puedan ser incluidos como evidencia de penetración como parte de una presentación o POC.

Para más información de NTO SQL Invader visite: http://wwww.ntobjectives.com/research/sqlinvader