È un Security Advisory inusuale, quel "Rise in SQL Injection Attacks Exploiting Unverified User Data Input" rilasciato da Microsoft qualche giorno addietro.
Piuttosto che segnalare problemi di sicurezza in uno specifico prodotto del gruppo, il bollettino mette in guardia amministratori di sistema e sviluppatori web circa un'impennata nel numero di attacchi di tipo SQL Injection rilevati negli ultimi tempi.
Attacchi SQL Injection sono causati dalla mancata validazione del codice in ingresso da parte degli sviluppatori, e consentono di alterare le interrogazioni rivolte verso la base di dati in modo inatteso, causando effetti variabili fra l'accesso abusivo al sistema (ad esempio, recuperando nome utente e password di un utente amministratore), fino alla possibilità di eliminare tabelle complete o immettere codice malevolo fra i record di un sito web, consentendo ad esempio la redirezione verso domini spara-malware.
Il problema quindi non è nel software Microsoft, ma nel modo con cui gli sviluppatori realizzano taluni aspetti delle proprie applicazioni.
Nel bollettino Microsoft propone tre strumenti gratuiti che dovrebbero consentire agli sviluppatori di rilevare e correggere, sia a design-time, sia a run-time, sviste che potrebbero consentire di portare attacchi di questo tipo.
HP Scrawlr, realizzato in collaborazione con Hewlett Packard, è il primo di questi strumenti. Il tool è in grado di scandagliare fino a 1.500 pagine di una web application già attiva alla ricerca di vulnerabilità di questo tipo, e offrire allo sviluppatore una panoramica delle debolezze rilevate. Il programma è compatibile con qualsiasi linguaggio server side, compresi ASP, ASP.NET, PHP e JSP.
UrlScan 3.0 Beta, ultima evoluzione di quello stesso programma già conosciuto dagli amministratori di web server IIS, è il secondo strumento per prevenire attacchi verso la base di dati. Si tratta di fatto di un componente aggiuntivo per Internet Information Services (IIS), versioni da 5.1 a 7.0, che si occupa di analizzare e bloccare richieste sospette prima che raggiungano il web server. La nuova versione offre la possibilità di esaminare specificatamente il querystring della richiesta HTTP, e accetta anche regole di validazione definite dall'utente.
Microsoft Source Code Analyzer for SQL Injection è l'ultimo dei tre nuovi strumenti presentati. Si tratta di un eseguibile da linea di comando che accetta come input un file ASP ("classico", ASP.NET non è ad oggi supportato). Il programma analizza tale sorgente alla ricerca di sviste che potrebbero portare ad un'iniezione di SQL, e quindi restituisce un valore numerico che identifica il tipo di problema.
Nonostante appaia ovvio come, cercando di risolvere alla radice il problema, il terzo strumento sia potenzialmente il più interessante, l'impiego combinato dei tre tool potrebbe comunque incrementare il livello di sicurezza generale della web application. Ad ogni modo, il bollettino Microsoft raccomanda una serie di altri interessanti approfondimenti circa il problema, a cui aggiungo il celeberrimo articolo SQL Injection Attacks by Example.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati