Un tool Microsoft contro la SQL Injection
Venerdì 27 Giugno 2008 - 11:32
di Gianni Malanga
A causa dell’ondata di attacchi SQL Injection che si sono recentemente verificati a danno di database utilizzati da vecchie applicazioni ASP mal ingegnerizzate, Microsoft ha deciso di correre ai ripari fornendo un utile strumento, chiamato Microsoft Source Code Analyzer for SQL Injection Tool, che permette di scansionare tutto il codice delle applicazioni ASP alla ricerca di quelle parti di codice vulnerabili a questo tipo di attacchi.
Sostanzialmente vengono individuati e segnalati tutti i punti in cui sono inviate delle query al database, affinché si possa correre ai ripari ad esempio utilizzando i Parameter invece della pericolosissima concatenazione di stringhe per la creazione delle query. Qui trovate alcuni consigli utili su come risolvere i problemi più comuni. Trovate il tool a questo indirizzo insieme alla sua documentazione e ad esempi di utilizzo. Questa invece la pagina per il download diretto.
Categoria: Microsoft Dev | Permalink
Commenti
1
utile questo tool, simile a quello dell’Acunetix
# - postato da sid - 29 Giugno 2008 - 23:13
2
utile questo tool, simile a quello dell’Acunetix
Il Web Vulnerability Scanner di Acunetix è ben altra cosa! Quello di MS è un “semplice” code crawler per l’analisi statica del codice. Quello di Acunetix è un complesso e potente scanner che sulla rete opera come un client… la sua filosofia non si basa sull’analisi del codice del server.
# - postato da Yan Raber - 30 Giugno 2008 - 14:20
3
Chi e’ riuscito a porre rimedio, noi le stiamo levando in continuazione dal db ma continuano a replicarsi sempre con nuovi indirizzi.
AIUTO!!!# - postato da alessandro - 18 Luglio 2008 - 16:29