Estoy tratando de hacer pruebas de penetración en nuestro sitio web ASP.NET para verificar las lagunas de seguridad (específicamente para inyecciones de SQL). Compramos una herramienta de escáner web comercial (IBM Rational AppScan), sin embargo, solo realiza un escaneo de caja negra para IIS y no detecta las inyecciones de SQL en ciertos escenarios.
Lo que estamos buscando es una herramienta similar a AppScan, pero también debería poder "adjuntar" a un proceso IIS (o SQL Server DB que estamos usando como back-end) y detectar si una determinada solicitud HTTP generó una inyección de SQL real.
Parece que la última versión de AppScan (8.5) lo hace, pero solo para servicios web basados en Java. Necesitamos algo que pueda funcionar en el entorno IIS / SQL Server.