Con razón o sin ella, no cabe duda que la infección masiva de cientos de miles de sitios web (la mayoría corriendo IIS y SQL Server) no ha hecho ningún favor a la reputación de Microsoft.
Por eso, a instancias de Microsoft, HP ha desarrollado Scrawlr, una herramienta gratuita que revisa tu sitio web en busca de posibles debilidades que puedan facilitar la inyección de SQL.
Scrawlr tiene, no obstante, algunas limitaciones frente a otras soluciones comerciales de la propia HP: explora un máximo de 1500 páginas, no comprueba formularios (grrr!), no vale para sitios que requieren autenticación, etc…
Referencias:
Vía: Kriptópolis
Muy interesante, aunque peligroso para los script kiddies.
salu2!!
Contra que inyeccion sql?
Todos los tipos? blind? otra?
Se me olvido decir que si viene de hp seguro que tiene spam por todos los lados xD
A ver, leyendo su pagina:
* Will only crawls up to 1500 pages
* Does not support sites requiring authentication
* Does not perform Blind SQL injection
* Cannot retrieve database contents
* Does not support JavaScript or flash parsing
* Will not test forms for SQL Injection (POST Parameters)
Entonces que diablos detecta ? XD
Pues no he leído la página de la herramienta con detenimiento, pero supongo que ahí lo aclarará, o si no, fíjate en los comentarios que hay a ver si aclaran algo. Yo la herramienta no la he probado aún porque hay que ingresar unos datos para bajarla y me da pereza
Atte: Carlos HS Group
Si no comprueba formularios, tiene un fallo serio. Habrá que esperar a que madure un poco más.
Por cierto, me lo parece, ¿o en la captura dice “Confirmed Blind” en el tercer resultado?. A lo mejor sí que puede detectar blind sql injection…
Slds!
No detecta blind segun ellos, ademas, siendo de hp me da mas miedo el scanner que la vulnerabilidad xD