Me pregunto si el webmaster normal puede obtener información sobre la inyección de SQL en sus sitios. Supongo que está escrito en algún registro, y solo si ves los registros verás esa actividad, ¿me equivoco?
¿Debería el atacante usar algún proxy TOR para ocultarse al realizar algunas pruebas, o no está tan expuesto como para ser considerado?
Lo que verá el defensor en esta situación depende en gran medida del registro que tengan y la ubicación de la inyección en la solicitud HTTP.
Si la inyección está en una solicitud GET (por ejemplo, http://vulnsite/vulnpage.php?id=5 ' OR '1'='1 ), esto se mostrará en la mayoría de los registros del servidor web, ya que generalmente registran la solicitud GET completa. Por lo tanto, es probable que un defensor vea una gran cantidad de solicitudes a la página vulnerable con datos inusuales en los parámetros.
Si la inyección está en un POST HTTP (como resultado del envío de un formulario), la mayoría de los servidores web no lo registrarán de forma predeterminada. El registro del servidor web todavía mostraría un gran número de solicitudes a la página con toda probabilidad, pero el detalle de lo que estaba sucediendo exactamente no sería evidente de inmediato. Se podría implementar un registro adicional, pero (AFAIK) este no es el valor predeterminado en la mayoría de las configuraciones.
En la segunda parte de tu pregunta. La dirección IP desde la que se realiza la conexión se registrará en ambos casos, por lo que si esta es la dirección real del sistema de los atacantes, entonces es posible rastrear esto a una ubicación o persona específica. Como tales, muchos atacantes no provienen directamente de sus propios sistemas, sino que salen a través de una VPN u otro host comprometido. TOR sería otra opción pero, por lo que he visto, el rendimiento de TOR puede no cumplir los requisitos para una rápida explotación de los problemas de Inyección de SQL.
Lea otras preguntas en las etiquetas sql-injection