我正在尝试对我们的 ASP.NET 网站进行渗透测试,以检查安全漏洞(特别是 SQL 注入)。我们购买了一个商业 Web 扫描工具(IBM Rational AppScan),但是它只对 IIS 进行黑盒扫描,并且在某些情况下无法检测到 SQL 注入。
我们正在寻找的是与 AppScan 类似的工具,但它还应该能够“附加”到 IIS 进程(或我们用作后端的 SQL Server DB)并检测是否某个 HTTP请求生成了一个实际的 SQL 注入。
看起来最新版本的 AppScan (8.5) 可以做到这一点,但仅适用于基于 Java 的 Web 服务。我们需要可以在 IIS/SQL Server 环境中工作的东西。
我不太确定您是在寻找预防工具还是侦探工具。
SQLI 基本上是一种让应用服务器向数据库发送有效 sql 查询的方法,对吧?鉴于发送查询以由 sql server 执行的无数方法,笔测试可以向您展示“如何”。如果您正在寻找预防性(有时是检测性)技术,Web 应用程序防火墙和数据库防火墙可能比应用程序测试工具更适合(理性、核心影响等)。Web 应用程序防火墙通常带有一系列漏洞的签名,包括不同的 SQL 注入方法,但一些高级产品会识别典型请求和响应数据,以确保有效请求不会生成非典型响应。
数据库防火墙从 Web 应用程序防火墙停止的地方开始工作,并密切关注实际的查询和响应。
Imperva 提供 Web 和数据库防火墙。Secerno/Oracle 提供了一个数据库防火墙,但我认为它只适用于 Oracle dbs。我确信还有其他供应商提供数据库防火墙。
我所在的联邦机构使用 AppScan 进行 Web 应用程序审查,使用 AppDetective进行数据库端。它支持 SQL Server。
我自己从未运行过它,但不得不对已运行的审计报告做出回应。