Nueva Herramienta para detectar Inyección SQL (SQLi) y Cross-Site Scripting (XSS)
AS-043-2021
Fecha: 10/Mayo/2021
Resumen:
LibInjection es una biblioteca en C para Detectar Inyección SQL (SQLi) y Cross-Site Scripting (XSS) a través del análisis léxico de ataques reales.
Características:
SQLi y otros ataques de inyección siguen siendo la principal vulnerabilidad de OWASP y CERT. Los intentos de detección actuales involucran con frecuencia una gran cantidad de expresiones regulares que no solo son frágiles y propensas a errores, sino que Hanson y Patterson en Black Hat 2005 han demostrado que nunca son una solución completa.
LibInjection es una nueva biblioteca C de código abierto que detecta SQLi mediante análisis léxico. Con poco conocimiento inicial de lo que es SQLi, el algoritmo ha sido entrenado en decenas de miles de ataques SQLi reales y cientos de millones de entradas de usuarios tomadas de un sitio web Top 50 para una alta precisión y exactitud.
Además, el algoritmo categoriza los ataques SQLi y proporciona plantillas para nuevos ataques o nuevos algoritmos de fuzzing.
El fuzzing o fuzz testing consiste en pruebas semiautomáticas o automáticas donde se proveen datos al azar, inválidos y no esperados en la sección de entrada de datos del software. De esa forma es posible comprobar la seguridad de la entrada en lo que respecta a la validación de datos.
LibInjection actualmente admite:
- C y C ++
- PHP
- Pitón
- Lua
- Java (puerto externo)
- [LuaJIT / FFI]
Recomendación:
LibInjection está disponible para su integración en aplicaciones, firewalls de aplicaciones web o portabilidad a otros lenguajes de programación.
Referencias: