Juil 18, 2011
10 Min
Facile

Havij est un outil automatisé d’injection SQL qui permet aux testeurs de pénétration de trouver et identifier les vulnérabilités d’injection SQL sur un site web afin de s’en protéger.


En utilisant ce logiciel, un utilisateur peut récupérer les utilisateurs d’un SGBD, les mots de passe, les tables et les colonnes, et même  exécuter des commandes sur le système d’exploitation. 

La puissance de Havij qui le rend différent des autres outils similaires sont ses méthodes d’injection. Le taux de réussite d’une injection SQL  est supérieur à 95%.

Pour utiliser cet outil, il préférable de savoir comment fonctionne une injection SQL.

Pour commencer, télécharger l’outil havij puis lancez l’installation. Apres le lancement de l’outil une fenêtre se présente comme l’image ci-dessous:

Ensuite dans Target, mettez l’adresse de votre cible (ayant une faille SQL) exemple:

www.cible.com/index.php?id=la valeur de l’id

Puis cliquez sur Analyze.

Attendez jusqu’à ce que le Status redevient I’m IDLE. Apres vous pouvez récupérer toutes les tables de la base données du site en cliquant sur Tables puis get tables.

Et pour bien comprendre l’utilité de havij, je vous présente une vidéo très utile que j’ai trouvé sur YouTube  .

8 Commentaires

  1. Alex

    Comment on fait s’il n’y a pas marqué « id » dans l’url? parce que moi je n’ai que le nom du site et c’est tout donc je ne peux pas accéder au profil