IPA が SQL インジェクションなどを検出するツールを公開しているようです。
情報処理推進機構：情報セキュリティ：脆弱性対策：SQLインジェクション検出ツール(IPA)>

SQL インジェクションと書いてありますが、実際には SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティング、などなどを検出出来るようです。

早速使ってみようと思ったのですが・・・重い(^-^;
IT関連のニュースサイトでも紹介されていましたので、おそらくアクセスが集中しているようでページが開きません。

ようやく開いたので試してみたのですが、今度はログ形式が対応していないとのこと・・・（おそらくログ形式を変更している為、認識できないんじゃないかな。）
ならばと思い、記録したログから追加している箇所を削除するようにコンバータを作って掛けてみましたが・・・
ログを認識しません(^-^;
ログをローテートさせているのが悪いのかな。
でも、１日30Mくらいのログを吐き出しているのでローテートさせないと洒落にならないし・・・

おまけに、Javaアプレットです。確かにブラウザ上で余りOS依存せずに動かす場合は良いかもしれないのですが、出来ればコマンドライン版（GUIとは言いません）もあると非常に良いですね。
繰り返し使うものですし、その都度 IPA のサイトにアクセスして・・・だと効率が悪いですしね。IPA へのトラフィックも多いでしょうし。

うちの環境では残念ながら動かなかったですが、Apache 以外にも IIS のW3C拡張ログにも対応しているようですので一度使ってみてはどうでしょうか。