Tudesimpel sårbarheds-scanner: Bestil SQL-injections fra mobilen

Hackerværktøj kan finde og udnytte SQL-injection-sårbarheder, samt fjernstyres fra en mobiltelefon.

Nu kan alle lave SQL-injection-angreb. Sådan kunne sloganet måske lyde for hackerværktøjet Katyusha Scanner Pro, som blev lanceret i april, og som sidenhen skulle være blevet populært blandt hackere.

Det er The Register, der på baggrund af et blogindlæg fra sikkerhedsfirmaet Recorded Future, fortæller om Katyusha og software-produktets popularitet.

Katyusha Scanner Pro skulle være tilgængelig i to udgaver. Som en service til en pris af 200 dollars pr. måned eller som en enkeltstående version, man kan installere på sit eget system for 500 dollars. Katyusha kan scanne websites for SQL-injection-sårbarheder, og hvis man har pro-versionen kan programmet automatisk udnytte sårbarhederne og hive data ud af den bagvedliggende database. Katyusha kan desuden fjernstyres fra en mobiltelefon via Telegram-beskedtjenesten.

Scanningsdelen i Katyusha bygger på det på det åbne og frit tilgængelige pentesting værktøj Arachni Scanner.

Gør det let for ikke-kyndige kriminelle

Den samlede Katyusha-pakke betyder ifølge The Register, at ikke-teknisk-kyndige kriminelle med lethed kan iværksætte angreb fra deres mobiltelefoner mod alverdens organisationer og virksomheder.

»Mens hacker-processen kan styres via et standard web-interface, så tillader Katyusha Scannerens unikke funktionalitet kriminelle at uploade lister med interessante websites og lancere det samtidige angreb mod adskillige mål simultant, og gnidningsløst styre operationen via Telegram messenger,« fortæller Recorded Future i blogindlægget.

Når Katyusha har scannet en input-liste med sites, så returnerer den en webrating for de enkelte sites baseret på Alexa-listen. Det kan, bemærker The Register, bruges som en guideline for, hvor værdifulde de enkelte mål måtte være.

»Tilgængeligheden af et særdeles robust og billigt værktøjer som Katyusha Scanner online for kriminelle med begrænsede tekniske færdigheder vil øge datakompromitterings-problemet som diverse forretninger oplever, hvilket understreger vigtigheden af løbende audits af sikkerheden i infrastrukturen,« bemærker Recorded Future i blogindlægget.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Kommentarer (2)
Leif Neland

Kan dette mon skrives på it-afdelingens budget?
Det lyder da som et godt værktøj til at teste egne systemer med også.

Jonas Iversen

...bruge arachni-scanner som jo er gratis.
(vil nok nøjes med at installere det på en test-maskine med begrænset adgang til netværket)
Er det nemt at bruge...nogen erfaringer?

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017