Punto informatico Network
125185297820081219154001_2403.png

Microsoft regala strumenti anti-SQL Injection

30/06/2008
- A cura di
Zane.
Archivio - Da Redmond arrivano nuovi strumenti gratuiti per verificare il codice sorgente delle pagine dinamiche e proteggere il web server.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

microsoft (1) , regala (1) , strumenti (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 205 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

È un Security Advisory inusuale, quel "Rise in SQL Injection Attacks Exploiting Unverified User Data Input" rilasciato da Microsoft qualche giorno addietro.

Piuttosto che segnalare problemi di sicurezza in uno specifico prodotto del gruppo, il bollettino mette in guardia amministratori di sistema e sviluppatori web circa un'impennata nel numero di attacchi di tipo SQL Injection rilevati negli ultimi tempi.

Attacchi SQL Injection sono causati dalla mancata validazione del codice in ingresso da parte degli sviluppatori, e consentono di alterare le interrogazioni rivolte verso la base di dati in modo inatteso, causando effetti variabili fra l'accesso abusivo al sistema (ad esempio, recuperando nome utente e password di un utente amministratore), fino alla possibilità di eliminare tabelle complete o immettere codice malevolo fra i record di un sito web, consentendo ad esempio la redirezione verso domini spara-malware.

Il problema quindi non è nel software Microsoft, ma nel modo con cui gli sviluppatori realizzano taluni aspetti delle proprie applicazioni.

Nel bollettino Microsoft propone tre strumenti gratuiti che dovrebbero consentire agli sviluppatori di rilevare e correggere, sia a design-time, sia a run-time, sviste che potrebbero consentire di portare attacchi di questo tipo.

HP Scrawlr, realizzato in collaborazione con Hewlett Packard, è il primo di questi strumenti. Il tool è in grado di scandagliare fino a 1.500 pagine di una web application già attiva alla ricerca di vulnerabilità di questo tipo, e offrire allo sviluppatore una panoramica delle debolezze rilevate. Il programma è compatibile con qualsiasi linguaggio server side, compresi ASP, ASP.NET, PHP e JSP.

UrlScan 3.0 Beta, ultima evoluzione di quello stesso programma già conosciuto dagli amministratori di web server IIS, è il secondo strumento per prevenire attacchi verso la base di dati. Si tratta di fatto di un componente aggiuntivo per Internet Information Services (IIS), versioni da 5.1 a 7.0, che si occupa di analizzare e bloccare richieste sospette prima che raggiungano il web server. La nuova versione offre la possibilità di esaminare specificatamente il querystring della richiesta HTTP, e accetta anche regole di validazione definite dall'utente.

Microsoft Source Code Analyzer for SQL Injection è l'ultimo dei tre nuovi strumenti presentati. Si tratta di un eseguibile da linea di comando che accetta come input un file ASP ("classico", ASP.NET non è ad oggi supportato). Il programma analizza tale sorgente alla ricerca di sviste che potrebbero portare ad un'iniezione di SQL, e quindi restituisce un valore numerico che identifica il tipo di problema.

Nonostante appaia ovvio come, cercando di risolvere alla radice il problema, il terzo strumento sia potenzialmente il più interessante, l'impiego combinato dei tre tool potrebbe comunque incrementare il livello di sicurezza generale della web application. Ad ogni modo, il bollettino Microsoft raccomanda una serie di altri interessanti approfondimenti circa il problema, a cui aggiungo il celeberrimo articolo SQL Injection Attacks by Example.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2020 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 102
    •  | Revisione 2.0.1
    •  | Numero query: 42
    •  | Tempo totale query: 0.03