Penetration tester all’ascolto, questa notizia è per voi: ho rilasciato una nuova versione (la 0.2.2) di sqlninja.
Il tool, che consente di sfruttare vulnerabilità di tipo SQL Injection in applicazioni web che utilizzano Microsoft SQL Server come back-end, punta ad ottenere una shell interattiva sul DB Server remoto, ed è stato precedentemente illustrato nel nostro articolo Quando la SQL Injection incontra il DNS.
Questa nuova versione offre la possibilità di utilizzare alcune tecniche di evasion contro Intrusion Prevention System e Application Firewall, una nuova modalità di esecuzione remota “blind” di comandi e un modulo di upload di eseguibili più sofisticato. Sul sito è inoltre disponibile una nuova demo in flash.
Sqlninja è scritto in Perl, gira su sistemi Unix-like ed è rilasciato sotto licenza GPLv2.