Da Microsoft uno strumento contro gli attacchi SQL Injection

Microsoft ha presentato la beta di UrlScan filter 3.0, un tool per IIS 7 per la protezione contro attacchi di tipo SQL Injection

di Fabio Gozzo pubblicata il 26 Giugno 2008, alle 10:56 nel canale Sicurezza
Microsoft

Microsoft ha appena presentato al pubblico UrlScan filter 3.0 Beta, uno strumento per il server Web IIS 7 atto alla protezione contro uno degli attacchi più semplici ma anche più insidiosi al mondo, l'SQL Injection. Nel corso del mese di aprile, abbiamo assistito ad una vera e propria ondata di attacchi SQL Injection, in seguito alla quale erano risultati infettati oltre 500.000 siti Web.

Questo tipo di attacco è sostanzialmente indirizzato a colpire siti Web che si appoggiano ad un database, ad esempio un forum o un blog, su cui è consentito agli utenti di inserire contenuti, che vengono poi memorizzati all'interno del database del sito stesso. L'attacco sfrutta l'inefficienza dei controlli sui dati ricevuti in ingresso dal sito per inserire del codice maligno all'interno della base di dati, infettando conseguentemente le pagine del sito

Microsoft era stata in un primo momento ritenuta colpevole di quanto accaduto, rea di una fantomatica falla di sicurezza nel server Web IIS. In realtà il problema era dovuto alla scarsa qualità, sul fronte della sicurezza, del codice sorgente dei siti Web. Ciò ha tuttavia stimolato il colosso di Redmond ad aggiornare il proprio software UrlScan filter, che nella precedente versione 2.5 era compatibile solamente con IIS 6.0.

La nuova versione 3.0 di UrlScan filter è indirizzata alla nuova release del server Web IIS 7.0, che è parte integrante di Windows Server 2008. UrlScan non è in grado di bloccare tutte le tipologie di attacco basate su SQL Injection, tuttavia renderà inefficaci gli attacchi più comuni. In aggiunta, Microsoft ha rilasciato sottoforma di technology preview uno strumento che si occupa di analizzare il codice sorgente delle pagine realizzate in ASP.NET al fine di ricercare eventuali porzioni di codice che potrebbero essere vulnerabili ad attacchi di questo tipo.

Il colosso di Redmond sta inoltre lavorando congiuntamente con i laboratori di ricerca di HP per lo sviluppo di Scrawlr: si tratta di uno strumento che si occupa di effettuare il crawling di un sito web, andando ad analizzare i parametri di ogni singola pagina, alla ricerca di vulnerabilità ad attacchi di tipo SQL Injection. In accordo con quanto riportato sul blog di HP, Scrawlr è molto veloce ed è dotato di un motore intelligente in grado di creare dinamicamente codice da iniettare nel database del sito.

I migliori sconti su Amazon oggi

-35%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC,60Hz con 120Hz Game Boost Mode, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 369.00€ Compra ora

-10%

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

9.95 8.94€ Compra ora

-10%

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00€ Compra ora

Mercato notebook: crescono i prezzi dei componenti

Raffreddamento a liquido per schede ATI Radeon HD 4800

k0nt326 Giugno 2008, 11:50 #1

la vera soluzione è usare una piattaforma tipo JavaEE

waielsi26 Giugno 2008, 11:53 #2

la solita microsoft che inventa l'acqua calda...

ce ne sono tanti di tool come questo supportati e sviluppati dalla comunita' open source che non si limitano al solo ASP.NET.

si puo' trovare un buon elenco a http://samate.nist.gov/index.php/So...urity_Analyzers

lupotana26 Giugno 2008, 12:02 #3

Ma per combattere la SQL INJECTION non basta usare chiamate con parametri ?

Cosa centra Microsoft?

Rubberick26 Giugno 2008, 12:16 #4

Ma oramai chi usa + le query dirette non parsate...

Io personalmente mi sono scritto una classe di astrazione che fa il lavoro sporco ma esiste anche un mare di materiale pronto... librerie potentissime, magari nn troppo leggere ma ci sono...

Human_Sorrow26 Giugno 2008, 12:21 #5

@ K0nt3

ma che c'entra Java con i Database !??!

il problema della SQL INJECTION esiste su tutti i DMBS mica solo su MS SQL Server, ed è un problema riguardante il codice scritto male dal programmatore non il linguaggio o il DBMS stesso.

bye

DanieleG26 Giugno 2008, 12:22 #6

Che bello vedere i soliti commenti che non c'entrano niente solo per dare contro a MS...

Bad-WOLF-26 Giugno 2008, 12:23 #7

Usando Stored Procedure si riduce notevolmente questa problema

k0nt326 Giugno 2008, 12:27 #8

Originariamente inviato da: Human_Sorrow

non ho parlato di linguaggio Java, ma di piattaforma JavaEE

Human_Sorrow26 Giugno 2008, 12:35 #9

@ K0nt3

per me JavaEE è la versione Enteprise Edition di Java così come esiste Java2ME per i cellulari e comunque non capisco che c'entra con i DB.

Ovvero faccio un'applicazione con "la piattaforma JavaEE" e ci attacco un DB MySQL ... Sono immune da SQL Injection ??
I don't think about ...

bye

k0nt326 Giugno 2008, 12:42 #10

Originariamente inviato da: Human_Sorrow

uhm I think about

in JavaEE viene usato il pattern MVC che risolve il problema delle SQL injection con una separazione netta tra DBMS e logica applicativa (vedi Java Persistence API).
ovviamente è sempre possibile scrivere codice sbagliato anche in JavaEE, ma JavaEE offre gli strumenti necessari per sconfiggere le SQL injection.

chiediti perchè hwupgrade usa php mentre la mia banca online usa jsp (moltro probabilmente immerso nella piattaforma JavaEE)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.

tutti gli articoli »

tutte le news »

Multimedia
Gallerie
Video

Sony Alpha 7 V, la nuova velocista

Lucid Gravity Touring, nuovo allestimento più equilibrato

Jeu de Paume

Rilasciati nuovi video e immagini della seconda missione del razzo spaziale Blue Origin New Glenn

Formula E Gen4 - La monoposto

Honda WN7, la prima moto elettrica dal vivo

FRITZ!Repeater 1700 estende la rete super-veloce Wi-Fi 7 FRITZ!Repeater 1700 porta il Wi-Fi 7 dual-band nelle case connesse. Mette a disposizione fino a 2.880 Mbit/s su 5 GHz e 688 Mbit/s su 2,4 GHz, integrazione Mesh...

Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria vivo X300 Pro rappresenta un'evoluzione misurata della serie fotografica del produttore cinese, con un sistema di fotocamere migliorato, chipset Dimensity 9500 di...

Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo Lenovo Legion Go 2 è la nuova handheld PC gaming con processore AMD Ryzen Z2 Extreme (8 core Zen 5/5c, GPU RDNA 3.5 16 CU) e schermo OLED 8,8" 1920x1200 144Hz. È...

Sony Alpha 7 V, anteprima e novità della nuova 30fps, che tende la mano anche ai creator Dopo oltre 4 anni si rinnova la serie Sony Alpha 7 con la quinta generazione, che porta in dote veramente tante novità a partire dai 30fps e dal nuovo sensore partially...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

AWS re:Invent 2025: inizia l'era dell'AI-as-a-Service con al centro gli agenti A re:Invent 2025, AWS mostra un’evoluzione profonda della propria strategia: l’IA diventa una piattaforma di servizi sempre più pronta all’uso, con agenti e modelli...

Polestar 3 Performance, test drive: comodità e potenza possono convivere Abbiamo passato diversi giorni alla guida di Polestar 3, usata in tutti i contesti. Come auto di tutti i giorni è comodissima, ma se si libera tutta la potenza è...

Mova Z60 Ultra Roller Complete: pulisce bene grazie anche all'IA Rullo di lavaggio dei pavimenti abbinato a un potente motore da 28.000 Pa e a bracci esterni che si estendono: queste, e molte altre, le caratteristiche tecniche...

Da Microsoft uno strumento contro gli attacchi SQL Injection

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC,60Hz con 120Hz Game Boost Mode, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

21 Commenti