Mientras realizaba la prueba en mi sitio web, SQLMap eliminó los datos de las tablas de mi base de datos. Todo es corrupto.
¿Cuál es una forma segura de usar esta herramienta sin tocar otros elementos en un servidor en vivo? ¿Cómo utiliza SQLMap en un servidor activo?
Tal vez usaste la opción --risk con un valor mayor que 1 .
del documento oficial:
El valor predeterminado es 1, que es inocuo para la mayoría de los puntos de inyección de SQL. El valor de riesgo 2 agrega al nivel predeterminado las pruebas para inyecciones de SQL basadas en el tiempo de consultas pesadas y el valor 3 también agrega pruebas de inyección de SQL basadas en OR.
así que si es extremadamente necesario ejecutar el escáner en prod, no use un valor más alto para esa opción [sqlmap por defecto usa --risk=1 pero puede darse el caso de que una consulta esté tan mal formada que pueda crear un caos en su base de datos]
doc oficial: enlace
Como dijo @Neil en su comentario, no debe hacer pentests en los sistemas de producción. Si esto es necesario por algún motivo, asegúrese de que haya copias de seguridad disponibles ...
Respecto a SQLmap, lea la documentación. Hay más y menos operaciones "seguras" disponibles. Sin embargo, no hay garantía de que las operaciones "seguras" no causen problemas.
Las otras respuestas son correctas, pero una cosa que no se mencionó es dónde se inyecta. Si inyecta en una declaración que realiza un DELETE , corre el riesgo de eliminar todo si lo inyecta. Del mismo modo, si inyecta un INSERT , corre el riesgo de corromperlo todo.
Al realizar evaluaciones, se debe tener cuidado para comprender la funcionalidad antes de intentar explotarla. Esto no solo lo ayuda a explotar vulnerabilidades, sino que también le ayuda a escribir mejores recomendaciones sobre cómo resolver el problema.
Lea otras preguntas en las etiquetas sql-injection sqlmap