Лучшие инструменты пен-тестера: сканеры безопасности

Сегодня мы коснемся святая святых любого пентестера – сканера уязвимостей.

Nessus

Сайт: www.nessus.org/plugins/index.php
Распространение: Free/Shareware
Платформа: Win/*nix/Mac

Если кто-то и не пробовал Nessus, то, по меньшей мере, слышал о нем. Один из самых известных сканеров безопасности имеет богатую историю: будучи когда-то открытым проектом, программа перестала распространяться в открытых исходниках. К счастью, осталась бесплатная версия, которая изначально была сильно обделена в доступе к обновлениям для базы уязвимостей и новым плагинам, но позже разработчики сжалились и лишь ограничили ее в периодичности апдейтов. Плагины – ключевая особенность архитектуры приложения: любой тест на проникновение не зашивается наглухо внутрь программы, а оформляется в виде подключаемого плагина. Аддоны распределяются на 42 различных типа: чтобы провести пентест, можно активировать как отдельные плагины, так и все плагины определенного типа – например, для выполнения всех локальных проверок на Ubuntu-системе. Причем никто не ограничивает тебя в написании собственных тестов на проникновения: для этого в Nessus был реализован специальный скриптовый язык – NASL (Nessus Attack Scripting Language), который позже позаимствовали и другие утилиты.

Еще большей гибкости разработчики добились, отделив серверную часть сканера, выполняющего все действия, от клиентской программы, представляющей собой не более чем графический интерфейс. В последней 4.2 версии демон на 8834 порту открывает веб-сервер; с ним можно управлять сканером через удобный интерфейс на Flash’е, имея один лишь браузер. После установки сканера серверная запускается автоматически, как только укажешь ключ для активации: ты бесплатно можешь запросить его на домашнем сайте Nessus. Правда, для входа, и локального, и удаленного, понадобится предварительно создать пользователя: в винде это делается в два клика мыши через GUI-админку Nesus Server Manager, с ее же помощью можно запускать и останавливать сервер.

Любой тест на проникновение начинается с создания так называемых Policies – правил, которых сканер будет придерживаться во время сканирования. Здесь-то и выбираются виды сканирования портов (TCP Scan, UDP Scan, Syn Scan и т.д.), количество одновременных подключений, а также типичные чисто для Nessus опции, как, например, Safe Checks. Последняя включает безопасное сканирование, деактивируя плагины, которые могут нанести вред сканируемой системе. Важный шаг в создании правил – это подключение нужных плагинов: можно активизировать целые группы, скажем, Default Unix Accounts, DNS, CISCO, Slackware Local Security Checks, Windows и т.д. Выбор возможных атак и проверок – огромный! Отличительная черта Nessus – умные плагины. Сканер никогда не будет сканировать сервис только по номеру его порта. Переместив веб-сервер со стандартного 80-го порта, скажем, на 1234-й, обмануть Nessus не удастся – он это определит. Если на FTP-сервере отключен анонимный пользователь, а часть плагинов используют его для проверки, то сканер не будет их запускать, заведомо зная, что толку от них не будет. Если плагин эксплуатирует уязвимость в Postfix’е, Nessus не будет пытать счастья, пробуя тесты против sendmail’а – и т.д. Понятно, что для выполнения проверок на локальной системе, необходимо предоставить сканеру Credentials (логины и пароли для доступа) – это завершающая часть настройки правил.

OpenVAS

Сайт: www.openvas.org
Распространение: Freeware
Платформа: Win/*nix/Mac

Несмотря на то, что исходные коды Nessus стали закрытыми, движок Nessus 2 и часть плагинов по-прежнему распространяются по лицензии GPL в виде проекта OpenVAS (OpenSource Vulnerability Assessment Scanner). Сейчас проект развивается совершенно независимо от своего старшего брата и делает немалые успехи: последняя стабильная версия вышла как раз перед отправкой номера в печать. Неудивительно, что OpenVAS так же использует клиент-серверную архитектуру, где все операции сканирования выполняются серверной частью – она работает только под никсами. Для запуска потребуется закачать пакеты openvas-scanner, а также набор библиотек openvas-libraries. В качестве клиентской части для OpenVAS 3.0 доступна только никсовая GUI-программа, но, думаю, что, как у предыдущих версий, скоро появится порт для винды. В любом случае, проще всего воспользоваться OpenVAS при помощи небезызвестного LiveCD Bactrack (4-ая версия), в котором он уже установлен. Все основные операции для начала работы вынесены в пункты меню: OpenVAS Make Cert (создание SSL-сертификата для доступа к серверу), Add User (создание юзера для доступа к серверу), NVT Sync (обновление плагинов и баз уязвимостей), и, в конце концов, OpenVAS Server (запуск сервера через пункт меню). Далее остается только запустить клиентскую часть и выполнить подключение к серверу для начала пентеста.

Открытость и расширяемость OpenVAS позволила сильно прокачать программу. Помимо непосредственно плагинов для анализа защищенности, в нее интегрировано немало известных утилит: Nikto для поиска уязвимых CGI-сценариев, nmap для сканирования портов и моря других вещей, ike-scan для обнаружения IPSEC VPN узлов, amap для идентификации сервисов на портах, используя fingerprinting, ovaldi для поддержки OVAL – стандартного языка для описания уязвимостей — и множество других.

XSpider 7

Сайт: www.ptsecurity.ru/xs7download.asp
Распространение: Shareware
Платформа: Win

Первые строчки кода XSpider были написаны 2 декабря 1998 года, а за прошедшие с тех пор 12 лет этот сканер стал известен каждому российскому специалисту по информационной безопасности. Вообще, Positive Technologies – одна из немногих компаний на отечественном рынке информационной безопасности, чьи сотрудники умеют реально что-то ломать, а не только красиво продавать услуги. Продукт был написан не программистами, а специалистами по ИБ, знающими, как и что надо проверять. Что в итоге? Имеем очень качественный продукт с одним лишь, но весьма серьезным для нас минусом: XSpider платный! Задаром разработчики предлагают урезанную демо-версию, в которой не реализован целый ряд проверок, в том числе эвристических, а также онлайн-обновления для базы уязвимостей. Более того, силы разработчиков сейчас всецело направлены на другой продукт – систему мониторинга информационной безопасности MaxPatrol, для которой, увы, нет даже и демки.

Но даже при всех ограничениях XSpider является одним из самых удобных и эффективных инструментов анализа безопасности сети и конкретных узлов. Настройки сканирования, как и в случае Nessus, оформляются в виде специального набора правил, только в данном случае они называются не Policies, а профилями. Настраиваются как общие параметры для сетевого анализа, так и поведение сканера для конкретных протоколов: SSH, LDAP, HTTP. Тип исследуемого демона на каждом порту определяется не по общепринятой классификации, а с использованием эвристических алгоритмов fingerprinting’а – опция включается одним кликом в профиле сканирования. Отдельного слова заслуживает обработка RPC-сервисов (Windows и *nix) с полной идентификацией, благодаря которой удается определить уязвимости различных сервисов и детальную конфигурацию компьютера в целом. Проверка слабости парольной защиты реализует оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли. Результат сканирования оформляется в виде удобного отчета, причем для каждой найденной потенциальной уязвимости выдается крохотное описание и внешний линк, куда можно обратиться за подробностями.

GFI LANguard

Сайт: www.gfi.com/lannetscan
Распространение: Freeware/Shareware
Платформа: Win

За что я особенно люблю этот продукт, так это за набор предустановленных профилей для сканирования. Помимо полного сканирования удаленной системы, подразумевающего все виды доступных проверок (кстати, есть специальная версия для медленного коннекта – например, для тормозного VPN-соединения через Штаты), есть масса отдельных групп проверок. Например, можно быстро проверить десятки хостов на наличие уязвимостей из Top20, составленной известной security-корпорацией SANS. Тут же можно активировать и поиск машин с неустановленными патчами или сервис-паками, выбрать профиль для пентеста веб-приложений и т.д. Причем, кроме профилей, непосредственно направленных на поиск уязвимостей, есть и ряд средств для аудита: поиск шар, умный сканер портов, в том числе для поиска открытых малварью соединений, определение конфигурации компьютера и т.д. Получается, в одном продукте уживаются масса полезных утилит.

Постоянно обновляемая база уязвимостей GFI LANguard включает более чем 15000 записей, позволяя сканировать самые разные системы (Windows, Mac OS, Linux), в том числе, установленные на виртуальных машинах. Сканер автоматически подтягивает обновления для базы, которые в свою очередь формируются по отчетам BugTraq, SANS и других компаний. Реализовать свои собственные проверки, как водится, можешь и ты сам. Для этого тебе предоставляется специальный скриптовый язык, совместимый с Python и VBScript (какова связка!), а для полного удобства еще и удобный редактор с дебагером – получается настоящая IDE. Еще одна уникальная фишка LANguard’а – возможность определения того, что машина запущена в виртуальном окружении (пока поддерживается VMware и Virtual PC) – это одна из уникальных фишек сканера.

Retina Network Security Scanner

Сайт: www.eeye.com
Распространение: Shareware
Платформа: Win

Главное разочарование этого легендарного сканера постигло меня сразу после запуска. Установщик последней версии, выругавшись, сказал, что запустить Retina на Windows 7 или Windows Server 2008 R2 на текущий момент нельзя. Не очень-то вежливо, пришлось открывать виртуальную машину, но я-то знал: оно того стоит. Retina – один из лучших сканеров, который определяет и анализирует хосты локальной сети. Физические и виртуальные серверы, рабочие станции и ноутбуки, маршрутизаторы и аппаратные брандмауэры – Retina представит полный список подключенных к сети устройств, выведет информацию о беспроводных сетях. Каждый из них она всячески будет пытать в поиске хоть какого-то намека на уязвимость, и делает это очень шустро. На сканирование локальной сети класса С уходит примерно 15 минут. Продукт Retina определяет уязвимости ОС, приложений, потенциально опасные настройки и параметры. В результате можно получить обзорный план сети с отображением потенциально уязвимых мест. База с уязвимостями, по заверениям разработчиков, обновляется ежечасно, а информация об уязвимости попадает в базу не позднее 48 часов после появления о ней первого багтрака. Впрочем, сам факт, что это продукт фабрики eEye, уже является своего рода гарантией качества.

Microsoft Baseline Security Analyzer

Сайт: www.microsoft.com
Распространение: Freeeware
Платформа: Win

Что это такое? Анализатор безопасности от компании Microsoft, который проверяет компьютеры в сети на соответствие требованиям Microsoft, которых набралось немалое количество. Самый главный критерий – это, конечно же, наличие на системе всех установленных обновлений. Не надо напоминать, что сделал Conficker, используя брешь MS08-67, патч для которой вышел за 2 месяца до эпидемии. Помимо отсутствующих в системе патчей, MBSA обнаруживает и некоторые распространенные бреши в конфигурации. Перед началом сканирования программа скачивает обновления для своих баз, поэтому можно быть уверенным: Microsoft Baseline Security Analyzer знает все о вышедших апдейтах для винды. По результатам сканирования (домена или диапазона IP-адресов) выдается сводный отчет. И без того наглядный репорт можно перенести на условную схему сети, отобразив результаты сканирования в Visio. Для этого на сайте программы доступен специальный соединитель, который отобразит символами различные узлы локалки, заполнит параметры объектов, добавив туда информацию о сканировании, и в удобнейшей форме позволит посмотреть, какие проблемы есть на том или ином компе.

SAINT

Сайт: http://www.saintcorporation.com
Распространение: Shareware
Платформа: -nix

Всего лишь два IP-адреса, на которые ты сможешь натравить SAINT в течение триального периода, жестко зашиваются в ключ, и он отправляется тебе на е-мейл. Ни шагу влево, ни шагу вправо – но этот продукт обязательно стоит попробовать, даже с такими драконовскими ограничениями. Управление сканером реализуется через веб-интерфейс, что неудивительно – решенияSAINT продаются, в том числе, в виде серверов для установки в стойку (SAINTbox), а тут нужно следовать моде. С помощью аскетичного веб-интерфейса очень просто можно запустить тестирование и использовать многолетние наработки для поиска потенциально уязвимых мест в системе. Скажу больше: один из модулей SAINTexploit позволяет не только обнаружить, но еще и эксплуатировать уязвимость! Возьмем пресловутую ошибку MS08-67. Если сканер обнаруживает неприкрытую дырку и знает, как ее эксплуатировать, то прямо рядом с описанием уязвимости дает ссылку с близким сердцу словом EXPLOIT. В один клик ты получаешь описание сплоита и, более того, – кнопку Run Now для его запуска. Далее, в зависимости от сплоита, указываются различные параметры, например, точная версия ОС на удаленном хосте, тип шелла и порт, на котором он будет запущен. Если эксплуатирование цели удачно завершено, то во вкладке Connections модуля SAINTexploit появляется IP-адрес жертвы и выбор действий, которые стали доступными в результате запуска эксплоита: работа с файлами на удаленной системе, командная строка и т.д! Представляешь: сканер, который сам ломает! Недаром слоган продукта: “Examine. Expose. Exploit”. Система проверок самая разнообразная, причем в последней 7-й версии появился модуль для пентеста веб-приложений и дополнительные возможности для анализа баз данных. Обозначив цель через веб-интерфейс, можно наблюдать за действиями сканера со всеми подробностями, точно зная, что и как сканер делает в текущий момент.

X-Scan

Сайт: http://www.xfocus.org
Распространение: Freeware
Платформа: Win

Последняя версия этого сканера вышла еще в 2007 году, что вовсе не мешает использовать его сейчас благодаря системе подключаемых плагинов и скриптов, написанных на языке NASL, таком же, который используется в Nessus/OpenVAS. Найти и отредактировать имеющиеся скрипты несложно – все они находятся в папке scripts. Для запуска сканера необходимо обозначить параметры сканирования через меню Config -> Scan Parameter. В качестве объекта сканирования может выступать как конкретный IP, так и диапазон адресов, но в последнем случае надо быть морально готовым к тому, что тестирование будет длительным. Сканер, увы, не самый быстрый. На скорость пропорционально влияет и количество подключенных модулей: дополнения, проверяющие стойкость паролей для SSH/VNC/FTP, одни из самых прожорливых. Внешне X-Scan больше напоминает самоделку, созданную кем-то для собственных нужд и пущенную в паблик на свободное плавание. Возможно, он бы и не получил такой популярности, если не поддержка скриптов Nessus, которые активируются с помощью модуля Nessus-Attack-Scripts. С другой стороны, стоит посмотреть отчет о сканировании, и все сомнения в полезности сканера отходят на второй план. Он не будет оформлен по одному из официальных стандартов ИБ, но точно расскажет много нового о сети.

Rapid 7 NeXpose

Сайт: www.rapid7.com
Распространение: Freeeware-версия
Платформа: nix/Win

Rapid 7 – одна из самых быстро растущих компаний, специализирующихся на информационной безопасности в мире. Именно она недавно приобрела проект Metasploit Framework, и именно ее рук дело – проект NeXpose. Стоимость “входа” для использования коммерческой версии составляет без малого $3000, но для энтузиастов есть Community-версия с чуть-чуть урезанными возможностями. Такая бесплатная версия легко интегрируется с Metasploit’ом (нужна версия не ниже 3.3.1). Схема работы достаточно хитрая: сначала запускается NeXpose, далее Metasploit Console (msfconsole), после чего можно запускать процесс сканирования и настраивать его с помощью ряда команд (nexpose_connect, nexpose_scan, nexpose_discover, nexpose_dos и другие). Прикольно, что можно совмещать функциональность NeXpose и других модулей Metasploit’а. Самый простой, но действенный пример: искать компьютеры с некой уязвимостью и тут же эксплуатировать ее с помощью соответствующего модуля Metasploit – получаем авторутинг на новом качественном уровне.

WARNING

Пентест серверов и ресурсов владельца ресурсов без его воли – деяние уголовно наказуемое. В случае использования полученных знаний в незаконных целях автор и редакция ответственности не несут.

——————-

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

Некоторые продукты имеют универсальный «характер», поэтому буду относить их к той категории, в которой они имеют больший результат (субъективное мнение).

Сетевые сканеры.

Основная задача — раскрыть доступные сетевые сервисы, установить их версии, определить ОС и т. д.

Nmap

Nmap («Network Mapper») это бесплатная утилита с открытым исходным кодом для анализа сети и аудита безопасности систем. Яростные противники консоли могут использовать Zenmap, это GUI к Nmap’у.
Это не просто «умный» сканер, это серьезный расширяемый инструмент (из «необычных фишек» — наличие скрипта для проверки узла на наличие червя “Stuxnet” (упоминалось тут). Типовой пример использования:

nmap -A -T4 localhost

-A для определения версии ОС, сканирования с использованием скриптов и трассировки
-T4 настройка управления временем (больше — быстрее, от 0 до 5)
localhost — целевой хост
Что-нибудь по жестче?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Это набор опций из профиля «slow comprehensive scan» в Zenmap. Выполняется довольно долго, но и дает в итоге более детальную информацию, которую можно узнать о целевой системе. Справочное руководство на русском языке, если решили углубиться, а так же советую перевод статьи Beginner’s Guide to Nmap.
Nmap получил статус “Security Product of the Year” такими журналами и сообществами как Linux Journal, Info World, LinuxQuestions.Org и Codetalker Digest.
Интересный момент, Nmap можно увидеть в фильмах «Матрица: Перезагрузка», «Крепкий орешек 4», «Ультиматум Борна», «Хоттабыч» и других.

IP-Tools

IP-Tools — эдакий набор из разных сетевых утилит, поставляется с GUI, «посвящена» windows юзерам.
Сканер портов, общих ресурсов (расшаренные принтеры/папки), WhoIs/Finger/Lookup, telnet клиент и многое другое. Просто удобный, быстрый, функциональный инструмент.

Нет особого смысла рассматривать остальные продукты, так как очень много утилит в данной области и все они имеют схожий принцип работы и функционал. Все же самым часто используемым остается nmap.

Сканеры брешей в веб-скриптах

Пытаются найти популярные уязвимости (SQL inj, XSS, LFI/RFI и т.д.) или ошибки (не удаленные временные файлы, индексация директорий и т.п.)

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner — по ссылке заметно что это xss сканер, но это не совсемтак. Бесплатная версия, доступная по ссылке дает довольно большой функционал. Обычно человека, запустившего этот сканер первый раз и впервые получив отчет по своему ресурсу охватывает небольшой шок, и вы поймете почему, сделав это. Это очень мощный продукт для анализа просто всевозможных уязвимостей на сайте и работает не только с привычными нам сайтами на php, но и на других языках (хоть отличие в языке не показатель). Инструкцию описывать особо смысла нет, так как сканер просто «подхватывает» действия пользователя. Что-то похожее на «далее, далее, далее, готово» в типичной установке какого-либо ПО.

Nikto

Nikto это Open Source (GPL) веб-сканер. Избавляет от рутинной ручной работы. Ищет на целевом сайте неудаленные скрипты (какие-нибудь test.php, index_.php и т.п.), инструменты администрирования бд (/phpmyadmin/, /pma и подобные) и т.д., то есть проверяет ресурс на самые частые ошибки, возникшие обычно из-за человеческого фактора.
Плюс, если находит какой-нибудь популярный скрипт, то проверяет его на вышедшие эксплоиты (которые есть в базе).
Сообщает о доступных «нежелательных» методах, типа PUT и TRACE
Ну и так далее. Очень удобно, если ты работаешь аудитором и каждый день проводишь анализ сайтов.
Из минусов хотел бы отметить высокий процент ложных срабатываний. К примеру если ваш сайт вместо 404 ошибки (когда она должна возникнуть) отдает все время главную, то сканер скажет, что на вашем сайте все скрипты и все уязвимости из его базы. На практике такое не так часто встречается, но как факт, многое зависит от структуры вашего сайта.
Классическое использование:

./nikto.pl -host localhost

Если нужно быть авторизованным на сайте, можно выставить cookie в файле nikto.conf, переменная STATIC-COOKIE.

Wikto

Wikto — Nikto под Windows, но с некоторыми дополнениями, как «нечеткой» логикой при проверке кода на ошибки, использование GHDB, получение ссылок и папок ресурса, реал-таймовым мониторингом HTTP запросов/ответов. Wikto написан на C# и требует .NET framework.

skipfish

skipfish — сканер веб-уязвимостей от Michal Zalewski (известного под ником lcamtuf). Написан на С, кроссплатформинен (для Win нужен Cygwin). Рекурсивно (и очень долго, порядка 20~40 часов, хотя последний раз у меня работал 96 часов) обходит весь сайт и находит всевозможные бреши в безопасности. Так же генерирует очень много трафика (по несколько гб входящего/исходящего). Но все средства хороши, тем более, если есть время и ресурсы.
Типичное использование:

./skipfish -o /home/reports www.example.com

В папке «reports» будет отчет в html, пример.

w3af

w3af — Web Application Attack and Audit Framework, open-source сканер веб-уязвимостей. Имеет GUI, но можно работать из под консоли. Точнее, это фреймворк, с кучей плагинов.
Рассказывать про его преимущества можно долго, лучше испробовать его :]
Типичная работа с ним сводится к выбору профиля, указания цели и, собственно, запуска.

Mantra Security Framework

Mantra is a dream that came true. Коллекция свободных и открытых инструментов по ИБ, встраиваемых в веб-браузер.
Очень полезны при тестировании веб-приложений на всех этапах.
Использование сводится к установке и запуску браузера.

На самом деле очень много утилит в данной категории и довольно сложно выделить из них конкретный список. Чаще всего каждый пентестер сам определяет набор нужных ему инструментов.

Эксплойтинг

Для автоматизированного и более удобного использования уязвимостей в программном обеспечении и скриптах пишут эксплойты, которым нужно только передать параметры, чтобы использовать брешь в безопасности. А есть продукты, которые избавляют от ручного поиска эксплоитов, да и еще и применяют их «на лету». Об этой категории сейчас и пойдет речь.

Metasploit Framework

The Metasploit® Framework — эдакий монстр в нашем деле. Он столько умеет, что инструкция выйдет на несколько статей. Мы рассмотрим автоматический эксплоитнг (nmap + metasploit). Суть такова, Nmap проанализирует нужный нам порт, установит сервис, а metasploit попробует применить к нему эксплоиты, исходя из класса сервиса (ftp, ssh и т.п.). Вместо текстовой инструкции я вставлю видео, довольно популярное на тему autopwn

А можно просто автоматизировать работу нужного нам эксплойта. К примеру:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run

На самом деле возможности данного framework очень обширны, поэтому, если решили углубиться, переходим по ссылке

Armitage

Armitage — OVA жанра киберпанкGUI для Metasploit. Визуализирует цель, рекомендует эксплоиты и предоставляет расширенные возможности данного фреймворка. В общем для тех, кто любит, чтобы все красиво и эффектно выглядело.
Скринкаст:

Tenable Nessus®

Tenable Nessus® vulnerability scanner — очень много чего умеет, но нам от него нужна одна из возможностей — определение, для каких сервисов есть эксплойты. Бесплатная версия продукта «home only»

Использование:

• Скачали (под свою систему), установили, зарегистрировали (ключик приходит на почту).
• Запустили сервер, добавили юзера в Nessus Server Manager (кнопка Manage users)
• Заходим по адресу

  https://localhost:8834/

  и получаем флэш-клиент в браузере

• Scans -> Add -> заполняем поля (выбрав подходящий нам профиль сканирования) и жмем Scan

Через некоторое время отчет о сканировании появится во вкладке Reports
Для проверки практической уязвимости сервисов к эксплоитам можно использовать выше описанный Metasploit Framework или попробовать найти эксплоит (к примеру на Explot-db, packet storm, explot search и др.) и использовать его вручную против своей системы
ИМХО: слишком громоздкий. Привел его как одного из лидеров в данном направлении софтверной индустрии.

Автоматизация инъекций

Поиск инъекций производят многие из web app sec сканеров, но они все же просто общие сканеры. А есть утилиты, которые конкретно занимаются поиском и эксплуатацией инъекций. О них сейчас и пойдет речь.

sqlmap

sqlmap — open-source утилита для поиска и эксплуатации SQL инъекций. Поддерживает такие сервера БД, как: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
Типичное использование сводится к строчке:

python sqlmap.py -u "http://example.com/index.php?action=news&id=1" 
Хватает мануалов, в том числе и на русском языке. Софтина очень облегчает работу пентестера при работе над данным направлением.
Добавлю официальную видео демонстрацию:

bsqlbf-v2

bsqlbf-v2 — скрипт на perl, брутфорсер «слепых» Sql инъекций. Работает как и с integer значениями в url, так и со строковыми (string).
Поддерживает БД:

• MS-SQL
• MySQL
• PostgreSQL
• Oracle

Пример использования:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1

-url www.somehost.com/blah.php?u=5 — Ссылка с параметрами
-blind u — параметр для инъекции (по умолчанию забирается последний из адресной строки)
-sql «select table_name from imformation_schema.tables limit 1 offset 0» — наш произвольный запрос в базу
-database 1 — сервер БД: MSSQL
-type 1 — тип атаки, «слепая» инъекция, основанная на True и Error (к примеру синтаксические ошибки) ответах

Дебаггеры

Эти инструменты в основном используют разработчики, при проблемах с результатами выполнения своего кода. Но это направление полезно и при пентестинге, когда можно подменять нужные нам данные «на лету», анализировать, что приходит в ответ на наши входные параметры (к примеру при фаззинге) и т.д.

Burp Suite

Burp Suite — набор утилит, которые помогают при тестах на проникновение. В Сети лежит хороший обзор на русском языке от Raz0r (правда за 2008 год).
В бесплатную версию входит:

• Burp Proxy — локальный прокси, позволяет изменять уже сформированные запросы от браузера
• Burp Spider — паук, ищет существующие файлы и директории
• Burp Repeater — ручная отправка HTTP-запросов
• Burp Sequencer — анализ случайных значений в формах
• Burp Decoder — стандартный кодер-декодер (html, base64, hex и т.п.), коих тысячи, которые можно быстро написать на каком-нибудь языке
• Burp Comparer — компонент сопоставления строк

В принципе этот пакет решает практически все задачи, связанные с этим направлением.

Fiddler

Fiddler — Fiddler это отладочный прокси, логирующий весь HTTP(S) трафик. Позволяет исследовать этот траффик, устанавливать breakpoint’ы и «играться» с входящими или исходящими данными.

Есть еще и Firesheep, монстр Wireshark и другие, выбор за пользователем.

Заключение

Естественно, каждый пентестер имеет свой арсенал и свой набор утилит, так как их просто множество. Я постарался привести одни из наиболее удобных и популярных. Но чтобы любой желающий мог ознакомится и с другими утилитами в этом направлении, я приведу ссылки ниже.

Различные топы/списки сканеров и утилит

• Security and Hacking Tools
• Top 100 Network Security Tools
• Top 10 Web Vulnerability Scanners.
• Top 10 Vulnerability Scanners
• OWASP Top 10 Tools and Tactics
• Web-based Application Security Scanners
• Web Application Security Scanner List by WebAppSec
• Утилиты по infosec на форуме RDot
• Сканеры уязвимостей (Википедия)

Дистрибутивы Linux, в состав которых уже входит куча разных утилит для пентестинга

• BackTrack
• Pentoo
• WEAKERTHAN
• Backbuntu

upd: Документация по BurpSuite на русском от команды «Hack4Sec» (добавил AntonKuzmin)

P.S. Нельзя умолчать про XSpider. Не участвует в обзоре, хотя он условно-бесплатен (узнал, когда отправил статью на СекЛаб, собственно из-за этого (не знания, да и неимения последней версии 7.8) и не включил его в статью). И по идее планировался его обзор (у меня заготовлены для него непростые тесты), но не знаю, увидит ли его мир.