Seit Ende Juni gibt es eine Hilfe für Entwickler und IT-Administratoren gegen SQL Injection in Websites vom Typ classic asp und zwar den Microsoft Source Code Analyzer for SQL Injection - June 2008 CTP (siehe auch Beitrag Totgesagte leben länger - so auch SQL-Injection).
Das Tool benötigt das Microsoft .Net 3.0 Framework und ist ein Command line-Utility. Nach Entpacken des Download-Pakets empfiehlt sich daher ein erster Blick in Readme.html. Um eine einzelne asp-Seite zu prüfen, wird diese einfach mit dem /Input-Parameter aufgerufen:
msscasi_asp.exe /Input=C:\wwwroot\myweb\login.asp
Das Ergebnis könnte dann beispielsweise so aussehen:
Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622
Copyright (C) Microsoft Corporation. All rights reserved.
RESULT has no type
C:\wwwroot\myweb\shopfunc.asp(600) : warning C80420: Unvalidated fun
ction parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as THEGUID`591).
Path summary:
- {THEGUID}[THEGUID`591 : string_input] created on 'Parameter' (line 591)
- {THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : string_
input] on 'Transfer' (line 599)
- {SQL, THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : $e
rror] on 'Execute' (line 600): Lines: 591, 596, 599, 600
C:\wwwroot\myweb\shopfunc.asp(833) : warning C80420: Unvalidated fun
ction parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).
There are other instances of this error:
Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).
(line 843) ...etc.
In dieser geprüften Seite werden also einige Meldungen ausgeworfen - Handlungsbedarf für den Entwickler.
Das Tool kennt sechs Fehler: 80400, 80403, 80406, 80407, 80420 or 80421, wobei 80400-Warnungen die höchste Priorität besitzen und sofort behoben werden sollten. Wenn keine Meldungen ausgegeben werden, ist die Seite in Ordnung:
msscasi_asp.exe /Input=C:\wwwroot\myweb\datefunc.asp
Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622
Copyright (C) Microsoft Corporation. All rights reserved.
Weitere Schritte (und wie ganze Websites geprüft werden können) finden Sie in Getting started with Microsoft Source Code Analyzer for SQL Injection. Das Tool ist somit eine einfache Hilfe für den Security-Check von ASP-Websites.
Beitrag von Toni Pohl
Wahrscheinlich kennen oder nutzen Sie Windows Small Business Server (SBS)?
SBS stellt eine preiswerte, integrierte Serverlösung für kleinere Betriebe dar. SBS 2003 ist der noch aktuelle Stand, nun gibt es bald eine neue Version: Windows Small Business Server 2008 und eine weiteres, ganz neues Server-Produkt Windows Essential Business Server 2008 (EBS) - um auch das "M" in "KMU "abzudecken ;-).
SBS ist die Gesamtlösung für kleinere Unternehmen (Small Business bis 75 Desktops).
Windows Small Business Server 2008
EBS bündelt die wichtigsten Microsoft-Produkte für mittelständische Unternehmen (Midsize Business bis 300 Desktops).
Windows Essential Business Server 2008
Als Teil der Microsoft Windows Server 2008 "wave" werden SBS und EBS in der zweiten Jahreshälfte 2008 auf den Markt kommen - also bald.
Beide Server Versionen benötigen mindestens 2GB RAM (4GB empfohlen) und eine aktuelle CPU ab 2 bzw. 2.5GHz oder Multicore CPU. EBS (siehe system requirements) wird nur als x64-Version verfügbar sein, SBS (siehe system requirements) wird es voraussichtlich in x86 und x64 geben.
Ganz neu ist "Public Preview" in Microsofts TechNet. Dort können Sie - nur mit Ihrer LiveID - die aktuellen Evaluierungsversionen und weitere nützliche Ressourcen herunterladen und ausgiebig testen!
Windows Small Business Server 2008 Public Preview
Windows Essential Business Server 2008 Public Preview
Viel Spaß beim Ansehen und Testen!
Beitrag von Toni Pohl
Schon ein Monat ist er alt - aber vielen (noch) unbekannt: Der Microsoft Baseline Security Analyzer 2.1 für Windows (MBSA). MBSA ist ein einfaches, kostenfreies Tool, welches ermöglicht den Sicherheitsstatus eines Windows-PCs anhand der Sicherheitsempfehlungen von Microsoft zu ermitteln. Dabei können übliche Schwachstellen und fehlende Patches entdeckt und die Systemsicherheit verbessert werden.
MBSA ist vor allem für KMUs gedacht. Der Analyzer kann mit und ohne WSUS arbeiten. Das Tool enthält ein grafisches und ein Commandline-Interface und kann auch Remote Scans ausführen (also fremde PCs prüfen).
MBSA 2.1 läuft ab Windows 2000 Service Pack 3 bis hin zum neuen Windows Server 2008, als x32 oder x64bit Applikation - je nach Betriebssystem gibt es mitunter einige Einschränkungen.
Was ist neu an MBSA 2.1?
Die neue Version unterstützt den aktuellen Windows Update Agent client (WUA - von Microsoft Update oder WSUS-Servern installiert), ebenso ein neues grafisches Interface für Vista und Windows Server 2008, vollen 64bit-Support, vulnerability assessment check support (VA - ja, was wär das Leben ohne tolle Abkürzungen?) und aktualisierte Checks für SQL Server 2005 und Windows XP Embedded platforms.
Nach der Installation (als Administrator!) erfolgt die Überprüfung in einfachen Schritten:
Das Ergebnis sieht dann beispielsweise so aus: Ein leicht zu lesender Report, der die einzelnen Themen übersichtlich zusammenfasst und zu jedem Thema Hinweise zur Überprüfung, zu den ermittelten Details und teilweise auch Links zur Behebung der Schwachstelle liefert.
Beim Anklicken eines Links wird der entsprechende Report im Browser geöffnet.
Hier geht es zum Download und zu den wirklich ausführlichen FAQs. Ein brauchbares Tool! Wir wünschen Secure Computing!
Beitrag von Toni Pohl
Wenn jemand im öffentlichen Licht steht, so scheint es Bill Gates zu sein. Er hat Microsoft von 1975 bis zum heutigen Tag (in den verschiedensten Rollen) geführt und geprägt. Heute ist Bill´s offiziell letzter Arbeitstag bei Microsoft. Ab nun wird sich Bill seiner Bill & Melinda Gates Foundation widmen.
Bill Gates bleibt aber Aufsichtsrat-Vorsitzender und wird Kontakt zu seinen Nachfolgern Steve Ballmer (Geschäftsführer), Craig Mundie (Chef für Strategie) und Ray Ozzie (Chef der Software-Entwicklung) halten.
Microsoft zollt Bill Gates Ehre und Respekt, unter anderem auch in einem kurzen Video hier: Bill Gates - Looking Back, Moving ahead.
Video: Bill Gates: Looking Back, Moving Ahead - Part 1
Ein paar Bilder aus dem Video geben einen Eindruck auch über das Erwachsen-Werden von Bill Gates und Microsoft:
Auf Microsoft PressPass finden sich ebenso eine Reihe von Interviews, Informationen und Links zu weiteren Videos.
Auf MSN Videos gibt es ein NBC-Interview mit Bill Gates über seine Zeit und Visionen: "die Chancen, dass wir eine Veränderung erreichen war sehr gering" ... "but: here we are today".
Achja - hier darf natürlich der Link zum coolen Abschiedsvideo auf Channel 10 von Bill nicht fehlen: Bill's Last Day: The CES Keynote video - Ein Muss! Viel Spaß!
Beitrag von Toni Pohl
Hyper-V hat nun den RTM Status erreicht. Die Entwicklung von Hyper-V ist nun abgeschlossen und Hyper-V wird ab 8. Juli 2008 über Windows Update den Kunden angeboten. Der Download kann jedoch auch jetzt schon unter http://www.microsoft.com/Hyper-V durchgeführt werden.
Beachten Sie dass Sie zum Einsatz von Hyper-V auch eine entsprechende Lizenz von Windows Server 2008 mit Hyper-V benötigen. Wenn Ihre Lizenz Windows Server 2008 (Standard, Enterprise oder Datacenter) lautet, haben Sie Hyper-V ebenfalls bereits lizenziert. Nur wenn Ihre Version ausdrücklich den Hinweis "without Hyper-V" enthält sind Sie nicht berechtigt Hyper-V einzusetzen.
Fast 1,5 Millionen Kunden haben Hyper-V in der Beta-Version installiert. Rund 250 Kunden haben am Early Adoptor Program teilgenommen.
Virtual Machine Manager 2008 ist weiterhin noch in Beta. Die Fertigstellung wird auch noch einige Zeit in Anspruch nehmen, genauere Termine sind im Moment jedoch nicht Verfügbar. Q3/Q4 2008 sollten jedoch sehr realistische Termine sein, wo die Software dann ebenfalls fertig gestellt ist.
Beitrag erstellt von: Peter Forster, MVP Virtual Machine