hit counter
Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

  • Comments 3
  • Likes

Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection, poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità di Microsoft SQL Server, piuttosto sfruttano le debolezze di siti web non realizzati seguendo le best practice di secure coding per la gestione dei dati in ingresso). Purtroppo l'evidenza di un problema che non mostra di rallentare la sua diffusione su scala internazionale ha portato Microsoft a pensare opportunamente a nuovi strumenti da fornire agli amministratori dei sistemi per identificare e correggere i difetti del codice web di pagine ASP e ASP.NET, suscettibili di attacchi di SQL Injection.

E proprio allo scopo di segnalare la disponibilità di queste risorse (nuovi strumenti e documentazione) è stato emesso ieri uno specifico "Microsoft Security Advisory (954462) - Rise in SQL Injection Attacks Exploiting Unverified User Data Input", che vi invito a leggere approfonditamente. Gli elementi essenziali sono la segnalazione di 3 tool:

e il riepilogo di importanti risorse documentali sul tema:

Share this post :
Comments
  • In seguito all'aumento degli attacchi di tipo SQL injection (che non sfruttano vulnerabilità di SQL Server,

  • Buongiorno,

    Purtroppo, per un attacoo ad un sito da me realizzato, ho già testato il Microsoft Source Code Analyzer for SQL Injection, e stranamente non mi ha segnalato nessun errore su pagine asp contenenti codice del tipo "SELECT value FROM tabella WHERE ..." che è attaccabile. E' possibile che lo strumento microsoft analizzi il codice asp ricercando solo le classiche chiamate ADO invece di analizzare il solo testo T-SQL? (io utlizzo delle chiamate realizzate ad hoc in delphi)

  • @Marco: al momento non riesco a darti una risposta esaustiva, oltre al riportarti una frase dell'articolo descrittivo del tool che nella sezione "limitations" dice "The tool understands only ASP code that is written in VBScript".

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment