Sto provando a eseguire test di penetrazione del nostro sito Web ASP.NET per verificare la presenza di scappatoie di sicurezza (in particolare per le iniezioni SQL). Abbiamo acquistato uno strumento di scansione web commerciale (IBM Rational AppScan), tuttavia esegue solo la scansione black box per IIS e non riesce a rilevare le iniezioni SQL in determinati scenari.
Quello che stiamo cercando è uno strumento simile a AppScan, ma dovrebbe anche essere in grado di "collegarsi" a un processo IIS (o DB di SQL Server che stiamo usando come back-end) e rilevare se una determinata richiesta HTTP ha generato un'iniezione SQL reale.
Sembra che l'ultima versione di AppScan (8.5) lo faccia ma solo per i servizi Web basati su Java. Abbiamo bisogno di qualcosa che possa funzionare in ambiente IIS / SQL Server.