Scanner de code d'injection Java SQL?
Je voulais trouver les instructions SQL dans mon application qui n'ont pas été écrites à l'aide de PreparedStatement qui sont vulnérables aux attaques par injection SQL.
Tout scanner de code qui peut faire ce travail?
2 answers
Ces deux outils effectuent un certain nombre de contrôles de sécurité sur le code Java:
Http://suif.stanford.edu/~livshits/work/lapse/download.html
Http://jsecscanner.sourceforge.net/
Le premier vérifie définitivement la vulnérabilité à l'injection SQL. Pas sûr de la seconde, mais même si ce n'est pas le cas, il fera d'autres vérifications utiles. Les deux sont des plugins pour l'E Eclipse.
Il existe de nombreux outils payants et non payants disponibles. Vous pouvez trouver la liste des outils ci-dessous liens.
- https://www.owasp.org/index.php/Appendix_A:_Testing_Tools
- https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
Vous pouvez également trouver des failles, des vulnérabilités et un exemple dans https://www.owasp.org/.
Personnellement, j'ai utilisé des commerciaux Veracode et AppScan. J'ai aimé Veracode son convivial et a beaucoup de fonctionnalités.