Acabou de sair a atualização do Havij, uma das melhores ferramentas para automação de ataques SQL Injection que existem no mercado, ele é simples de usar e possui uma série de tutoriais em vídeo explicando como fazer, inclusive em português como demonstrado abaixo (desculpem pela voz do rapaz):

O interessante do Havij é que ele possui uma versão freeware que pode ser baixada neste link e uma versão paga como demonstrado no quadro comparativo:

Items Free version Commercial version
1. Supported Databases with injection methods:
a. MsSQL 2000/2005 with error
b. MsSQL 2000/2005 no error union based
c. MsSQL Blind
d. MySQL union based
e. MySQL Blind
f. MySQL error based
g. Oracle union based
h. PostgreSQL union based
i. MsAccess union based
j. MsAccess Blind
2. HTTPS Support
3. Proxy support
4. Automatic database detection
5. Automatic type detection (string or integer)
6. Automatic keyword detection (finding difference between the positive and negative response)
7. Trying different injection syntaxes
8. Options for replacing space by /**/,+,… against IDS or filters
9. Avoid using strings (magic_quotes similar filters bypass)
10. Manual injection syntax support
11. Manual queries with result
12. Bypassing illegal union
13. Full customizable http headers (like referer,user agent and …)
14. Load cookie from site for authentication
15. Real time result
16. Guessing tables and columns in mysql<5 (also in blind) and MsAccess
17. Fast getting tables and columns for mysql
18. Getting one row in one request (all in one request)
19. Dumping data into file
20. Saving data as XML format
21. View every injection request sent by program
22. Enabling xp_cmdshell and remote desktop
23. Multi thread Admin page finder
24. Multi thread Online MD5 cracker
25. Getting DBMS Informations
26. Getting tables, columns and data
27. Command executation (mssql only)
28. Reading system files (mysql only)
29. insert/update/delete data

Uma tela com a cara do Havij:

O Havij é voltado para o mundo windows e deve ser usado com moderação. 🙂