# Havij > Tipo: **tool** · S0224 · [MITRE ATT&CK](https://attack.mitre.org/software/S0224) ## Descrição [[s0224-havij|Havij]] é uma ferramenta automatizada de SQL Injection com interface gráfica (GUI) distribuída pela empresa de segurança iraniana ITSecTeam. A ferramenta foi projetada para simplificar o processo de detecção e exploração de vulnerabilidades de SQL Injection, suportando múltiplos tipos de bancos de dados (MySQL, MSSQL, Oracle, Access) e técnicas de injeção (UNION, blind, error-based). Pentesters e avaliadores de segurança de aplicações web utilizaram Havij como ferramenta de suporte a testes de penetração de aplicações web. Em contextos maliciosos, o [[g0130-ajax-security-team|Ajax Security Team]] (grupo hacktivista iraniano) utilizou Havij em campanhas contra alvos ocidentais. A ferramenta é amplamente disponível em fóruns cibercriminosos e é utilizada por script kiddies e atacantes menos sofisticados para explorar vulnerabilidades SQL Injection em aplicações web - especialmente sistemas de gerenciamento de conteúdo (CMS) e aplicações desenvolvidas sem práticas seguras de codificação. A automação do Havij permite que atacantes testem e exploitem vulnerabilidades SQLi em massa contra múltiplos alvos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Grupos que Usam - [[g0130-ajax-security-team|Ajax Security Team]] ## Relevância LATAM/Brasil SQL Injection continua sendo uma das vulnerabilidades mais prevalentes em aplicações web brasileiras - o Brasil registra consistentemente alto volume de ataques web nos relatórios da Akamai e Cloudflare para a América Latina. Havij e ferramentas similares (SQLmap) são usados em campanhas de desfiguração de sites governamentais brasileiros e em ataques de exfiltração de dados de plataformas de e-commerce e saúde. O [[g0130-ajax-security-team|Ajax Security Team]] tem histórico de ataques hacktivistas que, embora focados em Israel e EUA, usam TTPs replicáveis por grupos hacktivistas ativos no Brasil (como GhostSec Brazil e Lulzsec Brasil). ## Detecção **Fontes de dados recomendadas:** - **Web Application Firewall (WAF) Logs:** Padrões de SQL Injection no payload HTTP - Havij gera padrões característicos de injeção com strings como `UNION SELECT`, `1=1`, `OR 1=1`, `--` - **Web Server Logs (Access Logs):** Volume anômalo de requisições para o mesmo endpoint com variações de payload - padrão de fuzzing automatizado do Havij - **IDS/IPS Signatures:** Regras Suricata/Snort para detecção de SQL Injection em tráfego HTTP **Regras de detecção:** - Suricata: `ET WEB_SPECIFIC_APPS SQL Injection` - conjunto de regras para SQL Injection incluindo padrões do Havij - OWASP ModSecurity Core Rule Set: regras CRS para detecção de SQLi em WAF/proxy reverso - Elastic SIEM: `web_application_attack` - detecção de padrões de ataque a aplicações web incluindo SQLi ## Referências Adicionais - [MITRE ATT&CK - S0224](https://attack.mitre.org/software/S0224) - [OWASP - SQL Injection Prevention Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) - 2024