Microsoft med verktøy mot SQL-innsprøytning

Microsoft har samlet verktøy som skal avdekke en vanlig type sårbarheter hos nettsteder.

SQL-innsprøytning
SQL-innsprøytning
Harald BrombachHarald BrombachNyhetsleder
25. juni 2008 - 09:30

Tidligere denne våren ble det registrert en kraftig økning i antallet angrep mot nettsteder som benytter ASP- og ASP.NET-teknologier fra Microsoft. Felles for angrepene var at det ble benyttet innsprøytning av SQL-kode i URL-er eller datafelt.

Et resultat av dette er at en angriper kan får utvidet tilgang til databasen, for eksempel til passordoversikter lagret i klartekst, men også mulighet til å overskrive data og å videresende andre brukere av tjenesten til ondsinnede destinasjoner.

Dette er mulig dersom løsningen ikke validerer og filtrerer inndataene i tilstrekkelig grad.

Den store mengden angrep denne våren skal ikke være forårsaket av noen spesiell sårbarhet i programvaren fra Microsoft, men at webutviklere ikke har hatt fokus på sikkerhet når tjenestene er blitt laget.

Nå har Microsoft laget en oversikt over tips og verktøy utviklere og andre kan ta i bruk for å avdekke denne typen sårbarheter. Ett av verktøyene, HP Scrawlr, skal også kunne benyttes for å finne muligheter for SQL-innsprøytning i nettsteder som ikke benytter Microsoft-teknologi.

Et annet av verktøyene, Microsoft Source Code Analyzer for SQL Injection, er et helt nytt verktøy som skal kunne finne SQL-relaterte sårbarheter ved å skanne tjenestens ASP-kode.

Mer informasjon om verktøyene finnes på denne siden.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra