Herramienta de escáner web de seguridad para IIS / SQL Server

5

Estoy tratando de hacer pruebas de penetración en nuestro sitio web ASP.NET para verificar las lagunas de seguridad (específicamente para inyecciones de SQL). Compramos una herramienta de escáner web comercial (IBM Rational AppScan), sin embargo, solo realiza un escaneo de caja negra para IIS y no detecta las inyecciones de SQL en ciertos escenarios.

Lo que estamos buscando es una herramienta similar a AppScan, pero también debería poder "adjuntar" a un proceso IIS (o SQL Server DB que estamos usando como back-end) y detectar si una determinada solicitud HTTP generó una inyección de SQL real.

Parece que la última versión de AppScan (8.5) lo hace, pero solo para servicios web basados en Java. Necesitamos algo que pueda funcionar en el entorno IIS / SQL Server.

    
pregunta Michael Narinsky 04.05.2012 - 02:13
fuente

2 respuestas

1

No estoy seguro de que estés buscando una herramienta preventiva o una herramienta de detección.

Un SQLI es básicamente un método para que un servidor de aplicaciones envíe consultas de SQL válidas a la base de datos, ¿verdad? La prueba de la pluma puede mostrarle el "cómo" dadas las innumerables formas de enviar consultas para que sean ejecutadas por el servidor SQL. Si está buscando una tecnología preventiva (y algunas veces detectiva), el firewall de una aplicación web y el firewall de la base de datos pueden adaptarse mejor que una herramienta de prueba de la aplicación (racional, impacto central, etc.). Un firewall de aplicaciones web generalmente viene con firmas para un grupo de vulnerabilidades que incluyen diferentes métodos de inyección de SQL, pero algunos de los productos avanzados detectan huellas digitales en los datos de solicitud y respuesta típicos para asegurarse de que una solicitud válida no genere una respuesta atípica.

Un firewall de base de datos retoma el lugar donde se detuvo el firewall de la aplicación web y vigila la consulta y la respuesta reales.

Imperva ofrece firewall web y de base de datos. Secerno / Oracle ofrece un cortafuegos de base de datos, pero creo que es solo para Oracle dbs. Estoy seguro de que hay otros proveedores que ofrecen un servidor de seguridad de base de datos.

    
respondido por el bangdang 04.05.2012 - 18:15
fuente
-3

La agencia federal en la que tengo contrato utiliza AppScan para las revisiones de aplicaciones web y AppDetective para el lado de la base de datos. Es compatible con SQL Server.
Nunca lo he ejecutado, pero he tenido que responder a informes de auditorías que se han ejecutado.

    
respondido por el David E Crawford - PMP 05.06.2012 - 16:49
fuente

Lea otras preguntas en las etiquetas