Internet Libre

Con razón o sin ella, no cabe duda que la infección masiva de cientos de miles de sitios web (la mayoría corriendo IIS y SQL Server) no ha hecho ningún favor a la reputación de Microsoft.

Por eso, a instancias de Microsoft, HP ha desarrollado Scrawlr, una herramienta gratuita que revisa tu sitio web en busca de posibles debilidades que puedan facilitar la inyección de SQL.

Scrawlr tiene, no obstante, algunas limitaciones frente a otras soluciones comerciales de la propia HP: explora un máximo de 1500 páginas, no comprueba formularios (grrr!), no vale para sitios que requieren autenticación, etc...

Referencias:

• Finding SQL Injection with Scrawlr.
• Descargar Scrawlr.

Relacionadas:

• Microsoft SQL Injection Prevention Strategy.
• Preventing SQL injection.
• Microsoft identifies tools to address SQL injection attacks.
• New tools enhance SQL Server security.
• Microsoft Security Advisory (954462): Rise in SQL Injection Attacks Exploiting Unverified User Data Input.
• The Microsoft Source Code Analyzer for SQL Injection tool is available to find SQL injection vulnerabilities in ASP code.
• Using UrlScan.