Дано: куча веб-сайтов, написанных разными людьми на разных самопальных фреймворках.
Надо: протестировать в более-менее автоматическом режиме всё это дело на уязвимости к sql инъекциям. К сайтам есть полный доступ, т.е. достать информацию не интересно, интересно найти уязвимый скрипт.
Пересмотрел кучу софти для поиска инъекций(WebCruiser, SQL Power Injector, sqlmap, Havij и ещё кучу названия которых просто не запомнил), но так и не нашёл программы своей мечты.
Программа мечты должна уметь делать хотя бы один из пунктов ниже, а лучше оба.
Первое: прога должна уметь сканировать сайт и находить скрипты на которые идёт обращение(в идеале даже ajax) и параметры, которые туда уходят. Потом бежать по этому списку и пытаться сотворить инъекцию. В случае успеха, показывать какой скрипт уязвим.
Второе: В прогу должна быть возможность загрузить файл определённого формата, в котором будет список скриптов для тестирования и для каждого скрипта будет указан метод(Post/Get) и список параметров с дефолтными(рабочими) значениями. Прога соответственно бежит по этому списку и ищет уязвимые скрипты.
Подскажите, есть ли подобные программы? Самому писать не хочется да и некогда. Платные решения приемлемы. Без разницы под Linux или оффтопик.
З.Ы. а чем вы ищите sql инъекции?