O HAVIJ é uma ferramenta automatizada que
ajuda realizar testes de invasão, achndor e explorando vulnerabilidades em
páginas e aplicações web com banco de dados.
Usando esse software, o usuário pode realizar
ataques back-end, recuperar usuários
e hashes de senhas de um SGBD,
efetuar dump de tabelas e colunas,
capturar dados de um determinado bando de dados, rodar instruções do SQL e até
mesmo acessar arquivos de sistemas ocultos e executar comandos SQL no sistema
operacional.
Sua interface gráfica amigável e
configurações de detecção automáticas tornam o uso da ferramenta mais fácil até
para iniciantes.
Atualmente a ferramenta está na versão 1.15 e
sua licença de uso tem um custo de 650 dólares.
Apesar de rodar somente na plataforma Windows, o HAVIJ suporta os seguintes banco de dados: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access e Sybase .
A ferramenta tem as seguintes características:
·
Banco de dados de detecção automática de
detecção automática de tipo (string
ou inteiro)
·
Detecção automática de palavras-chave
(encontrar diferença entre a resposta positiva e negativa)
·
Tentando sintaxes de injeção diferentes
·
Suporte a proxy
·
Resultado em tempo real
·
Opções para substituir o espaço por /**/,+,
... contra IDS ou filtros
·
Localização da url de administração
·
Cracker online hash MD5
·
Obtendo Informações DBMS
·
Getting
tabelas, colunas e os dados
·
executation
Command (mssql apenas)
·
Leitura de arquivos de sistema (mysql
somente)
·
Insert
/ update / delete de dados
Abaixo segue a tela inicial do Havij:
Veja que, colocando uma URL no campo target e
após a ferramenta detectar o banco de dados relacionado a essa mesma URL,
abaixo é mostrado várias informações como qual banco de dados usado, Banner,
versão da linguagem entre outras.
Nos próximos posts, falaremos mais sobre o
Havij, mostrando suas funcionalidades e respectivas telas.
Comentários
são sempre bem vindos, se for para enriquecer o tema, ainda melhor. Também vale
colocar sugestões ou até mesmo criticas.
Grande
abraço a todos.
