Havij est un outil automatisé d’injection SQL qui permet aux testeurs de pénétration de trouver et d’exploiter les vulnérabilités d’injection SQL sur un site web afin de s’en protéger.
En utilisant ce logiciel, un utilisateur peut récupérer les utilisateurs d’un SGBD, les mots de passe, les tables et les colonnes, et même exécuter des commandes sur le système d’exploitation.
La puissance de Havij qui le rend différent des autres outils similaires sont ses méthodes d’injection. Le taux de réussite d’une injection SQL est supérieur à 95% .
Pour utiliser cet outil, il preferable de savoir comment fonctionne une injections SQL.
Pour commencer, telecharger l’outil havij puis lancez l’instalation.
Apres le lancement de l’outil une fenêtre se presente comme l’image ci desous:
Dans target mettez l’adresse de votre cible (ayant une faille SQL) exemple:
www.cible.com/index.php?id=la valeur de l’id
puis cliquez sur Analyze.
Attendez jusqu’à ce que le « Status » redevient « I’m IDLE », apres vous pouvez récupérer toutes les tables de la base données du site en cliquant sur «Tables » puis « get tables ».
Je vous présente une vidéo que j’ai trouvé sur YouTube et qui demontre bien l’utilité de havij.
Ceux qui ont aimé cet article ont également apprécié ceux-là :
- Des outils pratiques pour les hackers
- Faille XSS, comment l’exploiter et s’en protéger
- Websecurify: Scanne votre site contre les dernières vulnérabilités
- Joomscan: Comment detecter les failles d’un site joomla ?
- Footprinting, collecte d’informations sensible
