Select For XML SQL injection

O Select For XML SQL Injection é uma nova* técnica de SQL Injection que permite extrair, de uma forma eficaz e rápida, toda a informação de um servidor de base de dados MSSQL Server 2005/2008.

Esta técnica, baseada na clausula FOR XML, permite converter o conteúdo de uma tabela em uma string simples e por isso, todo o conteúdo pode ser acrescentado num campo, injectando uma subquery num campo vulnerável numa aplicação web.

O SFX-SQLi é uma ferramenta interessante que vai auxiliar no pen testing neste tipo de SGBD.

Podem fazer o download do código fonte ou da versão compilada [aqui], tal como o artigo sobre For XML SQL Injection [aqui].
Para os mais desconfiados coloco [aqui] a avaliação do VirusTotal.

* Embora seja uma técnica pouco divulgada, já é conhecida pela comunidade de segurança de informação algum tempo.
Numa pesquisa consegui encontrar referências a uma publicação de Dennis Hurst em 2007.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Trackbacks para este post

    1. CRK Portugal » Select For XML SQL injection

    Que tal participar com o seu comentário?