Détecter et corriger une faille SQL avec Havij

injection sql havij
injection sql havij

Havij est un outil automatisé d'injection SQL qui permet aux testeurs de pénétration de trouver et identifier les vulnérabilités SQL d'un site web. Il est développé par ITSecTeam, une société de sécurité iranienne.

Havij a été publié en 2010 et depuis sa sortie, plusieurs autres outils d'injection SQL (tels que sqlmap ) ont été introduits. Cependant, Havij est toujours actif et couramment utilisé par les testeurs de pénétration.

Qu'est ce qu'on peut faire avec Havij ?

En utilisant ce logiciel, un utilisateur peut récupérer les utilisateurs d'une base de données, les mots de passe, les tables et les colonnes, et même exécuter des commandes linux à distance sur le système d'exploitation du serveur hébergeur. 

La puissance de Havij qui le rend différent des autres outils d'audit de la sécurité informatique sont ses méthodes d'injection. Le taux de réussite d'une injection SQL est supérieur à 95%.

Comment détecter une faille SQL avec Havij ?

Pour utiliser cet outil, il faut tout d'abord  apprendre à comment fonctionne une injection SQL.

  • Pour commencer, télécharger l'outil havij puis lancez l’installation.
  • Apres le lancement de l'outil une fenêtre se présente comme l'image ci-dessous:
    Interface-Havij
    Interface logiciel Havij d'injection SQL
  • Ensuite dans Target, mettez l’adresse de votre cible (ayant une faille SQL) exemple:
www.cible.com/index.php?id=la valeur de l’id
  • Puis cliquez sur Analyze.
  • Attendez jusqu'à ce que le Status redevient I’m IDLE.
  • Apres vous pouvez récupérer toutes les tables de la base données du site en cliquant sur Tables puis get tables.

Et pour mieux comprendre l'utilité de havij, je vous présente une vidéo très utile que j'ai trouvé sur YouTube.