Die Firma HP stellt mit Scrawlr ein kostenloses Tool zum Prüfen der eigenen Seite auf SQL Injection Schwachstellen. Das Tool ist ein einfacher Crawler das sich durch die Seite crawlt und auf die gefundenen Seiten Angriffe ausprobiert. Es fügt der Seite keinen Schaden hinzu sondern zeigt nur Seiten an die verwundbar wären.

Mit diesen Tool kann man auch testen ob die eigene Anwendung einen potenziellen Angriff erkennt. Da auf meiner Seite die PHIDS installiert war, hat diese sofort Alarm geschlagen. Auch wenn keine Angriffsmöglichkeit gefunden wurde hat meine Seite den Zugriff auf die Seite nach kurzer Zeit für die IP gesperrt, da ein portenzieller Hacker wahrscheinlich erstmal die Seite auf Schwachstellen scannt.

Das Freeware Tool hat eine Begrenzung der URLs die gescannt werden (1500). Nach dem Ende des Scans bekommt man einen Bericht angezeigt.

Die Freeware Version eignet sich aber trotzdem zum Testen des Verhaltens der eigenen Seite auf solche Angriffe. Laut eine Studie ist fast jede Webanwendung mit solchen Tools angreifbar.

Scrawlr soll eigentlich nur Geschmack auf die Software WebInspect machen.

Diese kann man sich zwar als 15 Tage Demo herunterladen, aber man kann die nur mit einer bestimmten Seite verwenden und nicht mit der eigenen.

Spannend sieht es auf jedenfall aus:

In der Demo Seite werden sehr viele Angriffsmöglichkeiten aufgezeigt, aber auch einfacherer Schwachstellen bei denen ein Angreifer zu viel Informationen über die Seite bekommt.

Dieses Tool prüft auch die Angreifbarkeit von Flash und Ajax Anwendungen und es kann auch eingeloggte User Simulieren. Diese stellen auch eine große Gefahr dar.

Es lassen sich verschiedenste Authentifizierungen einstellen.

Interessant ist das Tool für größere Firmen auf jedenfall. Die Preise für die Software fangen bei 2500$ an.