[English readers: you can find English links in this post for your convenience]

Avrete sicuramente letto della nuova ondata di attacchi di SQL Injection (che sembra aver colpito già 1 milione di siti web) che è stata denominata “LizaMoon” ed è stata per prima segnalata da WebSense a cui vi rimando per le informazioni di dettaglio:

WebSense: Update on LizaMoon mass-injection and Q&A

Smarco subito la problematica per l’utente finale: quale rischio si corre? Quello tipico di un rogueware/scareware scam: l’utente che naviga sui siti infetti potrebbe ritrovarsi a visualizzare delle finestre pop-up tipiche dei finti software antivirus/antimalware che segnalano la (finta) infezione del vostro PC, che si installano e che vi invitano ad acquistare tale software chiedendovi l’uso della vostra carta di credito. Prudenza!

A dispetto del loro nome, questa tipologia di attacchi non implica solitamente lo sfruttamento di vulnerabilità specifiche di prodotti di gestione dei database, come Microsoft SQL Server. Essa si riferisce alle vulnerabilità delle applicazioni Web che si appoggiano sì ad un database nel backend (che può essere di Microsoft o di altri fornitori), ma che difettano nel modo con cui non filtrano adeguatamente i dati di ingresso che l’utente può inserire nei form o caselle di testo di una pagina web, come confermato dalla stessa WebSense:

Q: Could this mean that there's a vulnerability in Microsoft SQL Server 2000 and 2005?
A: No. Everything points to that this is a vulnerability in a web application. We don't know which one(s) yet but SQL Injection attacks work by issuing SQL commands in unsanitized input to the server. That doesn't mean it's a vulnerability in the SQL Server itself, it means that the web application isn't filtering input from the user correctly.

Il tema è quindi l’attenzione alla sicurezza applicativa e all’uso di raccomandazioni nella scrittura di codice sicuro: quale migliore occasione per rinfrescare i puntatori alle risorse di approfondimento forniti da Microsoft per prevenire questi problemi e individuare questi errori di programmazione?

La risorsa più recente è

Quick Security Reference - SQL Injection

Inoltre, direttamente da un mio post di 3 anni fa:

NonSoloSecurity Blog di Feliciano Intini > Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

L’advisory segnalava alcuni tool

e il riepilogo di importanti risorse documentali sul tema:

Feliciano

Other related posts/resources: