Microsoft udostępnił narzędzie Web Application Configuration Analyzer (WACA), które skanuje serwer hostujący aplikacje biznesowe w oparciu o zestaw najlepszych praktyk zalecanych dla ustawień IIS , ASP.NET i SQL Server.
Narzędzie jest dedykowane dla administratorów serwerów webowych, ale może być wykorzystane zarówno przez programistów w celu zapewnienia, że ich kod pracuje w bezpieczenie przygotowanym środowisku.
WACA posiada trzy sekcje z ponad 140 regułami dla ustawień "General Application Rules", "IIS Application Rules" i "SQL Appliacation Rules". Lista najlepszych praktyk została zbudowana przez zespół Microsoft Information Security Risk Management & Deployment, który wewnętrzenie w firmie Microsoft zajmuje się zabezpieczeniem środowiska produkcyjnego i pre-produkcyjnego hostującego aplikacje biznesowe.
Narzędzie po zakończeniu audytu generuje raporty w HTML, umożliwia eksportowanie wyników do arkusza Excel, a także jest w stanie porównać rezultaty testów.
Microsoft Web Application Configuration Analyzer v1.0
Improving Web Application Security: Threats and Countermeasures