|
|
WIADOMOŚCI
Microsoft i HP chronią przed SQL injection
Daniel Cieślak
|
(2008.06.26)
|
Firmy Microsoft oraz Hewlett-Packard udostępniły (niezależnie) darmowe narzędzia, których zadaniem jest ułatwienie administratorom chronienia zasobów informatycznych przed atakami typu SQL injection (poprzez identyfikowanie luk na stronach oraz wykrywanie złośliwego kodu).
"My przygotowaliśmy dwie takie aplikacje, zaś HP jedną. Ich podstawowe zadanie polega na umożliwieniu administratorom łatwego wykrycia luk w oprogramowaniu lub błędów w konfiguracji, które mogą zostać wykorzystane przez przestępców do przeprowadzenia ataku SQL injection" - mówi Mark Miller, dyrektor microsoftowego działu Trustworthy Computing.
Udostępnione właśnie aplikacje powstały niejako w odpowiedzi na ostatnią falę ataków wymierzonych w legalne strony WWW - ich celem było zwykle osadzenie na witrynach złośliwego kodu, który miał infekować komputery internautów odwiedzających dany serwis. Większość z tych ataków przeprowadzano właśnie poprzez SQL injection (polega on na wysłaniu do bazy odpowiedniego zapytania SQL). Warto wspomnieć, iż z opublikowanego kilka dni temu raportu firmy F-Secure wynika, że w ciągu pierwszych sześciu miesięcy bieżącego roku na całym świecie w ten sposób zaatakowanych zostało co najmniej 2 mln stron.
Microsoft: to nie nasza wina
Wraz z falą ataków pojawiły się sugestie, że mogą one być przeprowadzane z wykorzystaniem jakichś niezałatanych luk w oprogramowaniu serwerowym lub bazodanowym Microsoftu - koncern jednak konsekwentnie dementował te informacje. Zdaniem przedstawicieli firmy, przestępcy wykorzystują zwykle luki, które nie zostały na czas załatane przez administratorów (mimo dostępności odpowiedniej poprawki) lub błędy w konfiguracji oprogramowania.
Microsoft wciąż nie zmienił zdania w tej kwestii - firma postanowiła jednak pomóc klientom, dlatego też przygotowała narzędzia, których zadaniem jest ułatwienie wykrycia i załatania luk, a także poprawienie błędów w konfiguracji. "Udostępnienie tych aplikacji jest odpowiedzią na oczekiwania naszych klientów. Odnotowaliśmy ostatnio znaczny wzrost liczby ataków SQL injection i postanowiliśmy pomóc użytkowników w ochronie przed nimi" - tłumaczy Mark Miller.
Skanowanie URL
Pierwszym z dwóch przygotowanych przez Microsoft narzędzi jest program stworzony przez programistów pracujących nad IIS (Internet Information Services). Jest to nowa wersja aplikacji o nazwie "UrlScan" (poprzednie jej wydanie pojawiło się w 2003 r.). Jak czytamy na stronie Microsoftu, jest to "program zabezpieczający, który blokuje przetwarzanie niektórych typów żądań HTTP przez usługi IIS (Internet Information Services). Dzięki zablokowaniu niektórych żądań HTTP łatwiej jest zapobiegać odbieraniu przez serwer potencjalnie szkodliwych żądań". Najważniejszą innowacją jest fakt, iż UrlScan potrafi teraz skanować w poszukiwaniu złośliwego kodu nie tylko adres strony, ale także dodatkowe parametry zawarte w adresie URL. Przedstawiciele Microsoftu zapewniają, że program jest w stanie wykryć prawie wszystkie typy złośliwych ataków zaobserwowanych do tej pory.
Drugi program udostępniony przez koncern z Redmond przygotowany został przez zespół programistów pracujący nad SQL Server - nosi on nazwę "SQL Source Code Analysis Tool". Jego zadaniem jest analizowanie kodu ASP .Net pod kątem obecności luk oraz niebezpiecznego kodu (np. złośliwych zapytań).
HP też pomaga
Podobny program przygotował również koncern Hewlett-Packard; "HP Scrawlr" (czyli SQL Injector and Crawler) to rodzaj fuzzera, który analizuje strony WWW pod kątem luk, które mogą zostać wykorzystane do przeprowadzenia ataku SQL injection. Po zakończeniu analizy użytkownikowi przedstawiany jest szczegółowy raport, dzięki któremu możliwe jest zaplanowanie odpowiedniego uaktualnienia.
Więcej informacji oraz pliki do pobrania znaleźć można na stronach Microsoftu oraz Hewlett-Packarda.
|
| |  |
Zobacz też:
Aktualności Artykuły
|
Więcej informacji o:
Microsoft Corporation
|
|
|
| | |
| Ruby On Rails wchłonie Merb | (2009.01.06) | | Projekty Ruby On Rails i Merb zostaną połączone. Kolejne wydanie platformy narzędziowej RoR ma zawierać najlepsze cechy konkurencyjnego rozwiązania. Autorzy Merb dołączą do deweloperów pracujących nad platformą Rails. |
| b-Portal dla aptek | (2008.12.23) | | Jedna z największych polskich sieci aptek "Apteki Medyczne", podpisała ze spółką Benhauer umowę na wdrożenie systemu b-Portal, który zoptymalizuje kluczowe procesy biznesowe w firmie i zintegruje je w ramach jednego rozwiązania z CMS portalu firmowego, extranetem i intranetem. |
| Użyteczność serwisów bankowych wg Making Waves | (2008.12.18) | Internetowy serwis PKO Banku Polskiego uzyskał najlepszy wynik w audycie użyteczności przeprowadzonym przez firmę Making Waves. W pierwszej trójce znalazły się także witryny Lukas Banku i mBanku. Najniżej oceniono serwisy Polbanku, Santander Consumer Bank S.A. oraz Banku Gospodarstwa Krajowego.
|
| Obawy o administratorów baz danych | (2008.12.16) | | Według wyników badań przeprowadzonych przez Aberdeen Group, jednym z najlepszych sposobów zwiększenia bezpieczeństwa bazy danych jest staranne monitorowanie osób, którym powierzono jej zarządzanie - administratorów baz danych (DBA). |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
