Бесплатная утилита, которую вы можете использовать для демонстрации уязвимостей SQL-инъекций в веб-приложениях, была выпущена специалистами по веб-безопасности NT OBJECTives.
NTO SQL Invader интересен тем, что не предназначен для поиска уязвимостей; вместо этого цель состоит в том, чтобы показать вам, как можно использовать уязвимость.
Объявление об утилите объясняет потребность в инструменте тем, что при обнаружении уязвимости было трудно понять, можно ли ее на самом деле использовать. Причина в том, что большинство существующих инструментов тестирования SQL Injection запускаются из командной строки и «не имеют интуитивно понятного пользовательского интерфейса». Другими словами, если вы не можете показать проблему на красивой веб-странице, люди на самом деле не поверит, что она существует. Как говорится в объявлении:
«Без возможности четко продемонстрировать возможность использования уязвимости, усилия по исправлению часто откладываются и возникают трения между группами безопасности и разработчиками».
Кто бы мог подумать?
NTO SQL Invader, напротив, позволяет использовать уязвимость для отображения списка записей, таблиц и учетных записей пользователей в серверной базе данных. Затем, по словам NT OBJECTives, это можно использовать на «встречах руководителей и обсуждениях исправлений». В объявлении говорится, что, поскольку данные отображаются таким образом, их легко понять как техническим, так и бизнес-зрителям.
Таким образом, основная идея заключается в том, что даже если вы покажете руководству результаты тестировщика командной строки, они проигнорируют его, но покажут им действительно профессионально выглядящий снимок экрана, и они заметят.
Печально, но, вероятно, это правда.