Googleから新しい検査ツールが出たとのことで、中身を見てみました。
skipfish - Project Hosting on Google Code
ツールの作者はRatproxyと同じくMichaB
Zalewski氏ですが、今回のツールはRatproxyとは違って"Active"な検査ツールです。
最新版のVersion 1.29ベータをダウンロードして使ってみました。

2010-04-10

私が検査対象としたアプリは、Oracleデータベースを操作する20個くらいのServletで、そのすべてにSQL Injection脆弱性があります。
検査は起動後4〜5分程で終了しました。この間にツールが送信したHTTPリクエストは10万を超えており、たかだか20個ほどのServletに対する検査としては多すぎます。実は、skipfishにはWebサーバのディレクトリやファイルを辞書探索して検査対象を見つけ出す機能があり、リクエストの大半はそこに費やされていました。

2010-04-10

SQL Injectionについては、20個ほどのアプリのうちツールで検出できたのは2個だけでした。この2個はいずれもSELECT文のWHERE句の数値リテラルにインジェクションするタイプのものです。この2個のうち1つはBlindタイプ（＝SQLエラーメッセージがHTMLに出ないもの）です。
数値リテラル以外はどうかというと、文字列リテラルや「ORDER BY」等にインジェクションするものは、SQLエラーがHTMLに出力されるものを含めて検出されませんでした。

2010-04-10