esenfrdeitptru

Nueva Herramienta para detectar Inyección SQL (SQLi) y Cross-Site Scripting (XSS)

AS-043-2021

Fecha: 10/Mayo/2021

Resumen:

LibInjection es una biblioteca en C para Detectar Inyección SQL (SQLi) y Cross-Site Scripting (XSS) a través del análisis léxico de ataques reales.

Características:

SQLi y otros ataques de inyección siguen siendo la principal vulnerabilidad de OWASP y CERT. Los intentos de detección actuales involucran con frecuencia una gran cantidad de expresiones regulares que no solo son frágiles y propensas a errores, sino que Hanson y Patterson en Black Hat 2005 han demostrado que nunca son una solución completa.

LibInjection es una nueva biblioteca C de código abierto que detecta SQLi mediante análisis léxico. Con poco conocimiento inicial de lo que es SQLi, el algoritmo ha sido entrenado en decenas de miles de ataques SQLi reales y cientos de millones de entradas de usuarios tomadas de un sitio web Top 50 para una alta precisión y exactitud.

Además, el algoritmo categoriza los ataques SQLi y proporciona plantillas para nuevos ataques o nuevos algoritmos de fuzzing.

El fuzzing o fuzz testing consiste en pruebas semiautomáticas o automáticas donde se proveen datos al azar, inválidos y no esperados en la sección de entrada de datos del software. De esa forma es posible comprobar la seguridad de la entrada en lo que respecta a la validación de datos.

LibInjection actualmente admite:

  • C y C ++
  • PHP
  • Pitón
  • Lua
  • Java (puerto externo)
  • [LuaJIT / FFI]


Recomendación:

LibInjection está disponible para su integración en aplicaciones, firewalls de aplicaciones web o portabilidad a otros lenguajes de programación.

Referencias:

https://github.com/client9/libinjection

https://github.com/p0pr0ck5/lua-ffi-libinjection