Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection, poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità di Microsoft SQL Server, piuttosto sfruttano le debolezze di siti web non realizzati seguendo le best practice di secure coding per la gestione dei dati in ingresso). Purtroppo l'evidenza di un problema che non mostra di rallentare la sua diffusione su scala internazionale ha portato Microsoft a pensare opportunamente a nuovi strumenti da fornire agli amministratori dei sistemi per identificare e correggere i difetti del codice web di pagine ASP e ASP.NET, suscettibili di attacchi di SQL Injection.

E proprio allo scopo di segnalare la disponibilità di queste risorse (nuovi strumenti e documentazione) è stato emesso ieri uno specifico "Microsoft Security Advisory (954462) - Rise in SQL Injection Attacks Exploiting Unverified User Data Input", che vi invito a leggere approfonditamente. Gli elementi essenziali sono la segnalazione di 3 tool:

• HP Scrawlr
• Microsoft UrlScan version 3.0 Beta
• Microsoft Source Code Analyzer for SQL Injection

e il riepilogo di importanti risorse documentali sul tema:

• SQL Server Injection Protection
• Preventing SQL Injections in ASP
• How To: Protect from SQL Injection in ASP.NET
• Coding Techniques for protecting against SQL Injection in ASP.NET
• Filtering SQL Injection from Classic ASP
• Security Vulnerability Research & Defense Blog on SQL Injection Attack

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS