SQL-innsprøytning

Microsoft med verktøy mot SQL-innsprøytning

Microsoft har samlet verktøy som skal avdekke en vanlig type sårbarheter hos nettsteder.

Tidligere denne våren ble det registrert en kraftig økning i antallet angrep mot nettsteder som benytter ASP- og ASP.NET-teknologier fra Microsoft. Felles for angrepene var at det ble benyttet innsprøytning av SQL-kode i URL-er eller datafelt.

Et resultat av dette er at en angriper kan får utvidet tilgang til databasen, for eksempel til passordoversikter lagret i klartekst, men også mulighet til å overskrive data og å videresende andre brukere av tjenesten til ondsinnede destinasjoner.

Dette er mulig dersom løsningen ikke validerer og filtrerer inndataene i tilstrekkelig grad.

Den store mengden angrep denne våren skal ikke være forårsaket av noen spesiell sårbarhet i programvaren fra Microsoft, men at webutviklere ikke har hatt fokus på sikkerhet når tjenestene er blitt laget.

Nå har Microsoft laget en oversikt over tips og verktøy utviklere og andre kan ta i bruk for å avdekke denne typen sårbarheter. Ett av verktøyene, HP Scrawlr, skal også kunne benyttes for å finne muligheter for SQL-innsprøytning i nettsteder som ikke benytter Microsoft-teknologi.

Et annet av verktøyene, Microsoft Source Code Analyzer for SQL Injection, er et helt nytt verktøy som skal kunne finne SQL-relaterte sårbarheter ved å skanne tjenestens ASP-kode.

Mer informasjon om verktøyene finnes på denne siden.

Til toppen