Buscadores de inyección SQL

Question

Tenemos un proyecto cliente/servidor basado en Java. Recientemente, uno de los evaluadores ha encontrado una vulnerabilidad de inyección SQL al probar la aplicación.

No contamos con recursos suficientes para verificar manualmente la aplicación de inyecciones de SQL.

¿Hay algún buscador de inyección de SQL/analizador de código estático que encuentre vulnerabilidades de SQL en el código de Java?

Answer 1

Sí!

Éstos son algunos:

• Armorize CodeSecure
• FindBugs
• YASCA
• HP Fortify Static Code Analyzer
• Parasoft
• klockwork INSIGHT
• coverity Static Analysis
• VeraCode
• Checkmarx
• IBM Appscan

Leer: OWASP's List of Source Analysis Tools

Answer 2

Findbugs tiene un módulo para verificarlos, pero todavía no lo ejecuté. http://findbugs.sourceforge.net/api/edu/umd/cs/findbugs/detect/FindSqlInjection.html