I en sikkerhedsbulletin, nævner Microsoft den stigende mængde SQL injection angreb som udnytter at brugerinput ikke bliver verificeret.
"Microsoft er klar over den nylige eskalering af angreb af denne type som er rettet mod Websites som anvender Microsoft ASP og ASP.NET teknologi, men ikke følger best practice for sikker Webapplikationsudvikling. Disse SQL injection angreb udnytter ikke specifikke software-sårbarheder, men rammer websites der ikke følger sikker kodepraksis for tilgang til og manipulation af data gemt i relationelle databaser," lyder det i sikkerhedsbulletinen.
God kodepraksis er at validere al brugerinput og sikre at SQL-statements ikke får lov at snige sig ind blandt brugerinput.
Hvis man er i tvivl om hvorvidt et websted nu også er sikret mod SQL injections, stiller Microsoft nu tre værktøjer til rådighed:
Her er værktøjerne
Microsoft Source Code Analyzer for SQL Injection (MSCASI)
MSCASI analyserer ASP-kildekode for potentielle sårbarheder.
MSCASI er en såkaldt Community Technology Preview (CTP) version og kan downloades her.
UrlScan 3.0
UrlScan er en opdatering af det eksisterende URLScan IIS filter tool. UrlScan blokerer for HTTP forespørgsler der indeholder mistænkelig tekst såsom SQL keywords.
UrlScan er en betarelease og kan downloades her.
Scrawlr
Scrawlr er udviklet i et samarbejde mellem Microsoft og HP. Scrawler er en sammentrækning af SQL Injector og Crawler. Scrawlr gennemtrawler et website mens den analyserer parametrene til hver webside for eventuelle SQL Injection sårbarheder.
Scrawlr kan downloades her.
