Redmond wil SQL-injectie eindelijk hoofd bieden

Daarmee reageert Microsoft op aanvallen op SQL-aanvallen in webomgevingen met Internet Information Services. Deze websites putten dikwijls uit de bronnen van Microsoft SQL Server. Door ontwerpfouten kunnen hackers zo toegang krijgen tot de centrale database. Een groot aantal websites werd bijvoorbeeld begin dit jaar slachtoffer van een massale, geautomatiseerde hack.

Belangrijkste daarvan is de bètaversie van UrlScan 3.0, de eerste versie van het http-controlepakketje dat specifiek is geschreven voor Internet Information Services 7, de standaardversie meegeleverd met Windows Server 2008. De huidige versie van de ISAPI-filteraar, UrlScan 2.5, is nog gericht op IIS6. De versies van de webservers verschillen nogal in de manier waarop webaanvragen afgehandeld worden.

He tweede tooltje is de community technology preview van Source Code Analyser, waarmee ASP-ontwikkelaars naar zwakke plekken in de code kunnen speuren. Daarbij scant het vooral op kwetsbaarheden zoals die beschreven zijn in een handleiding van Microsoft op hun Developer Network.

De derde tool is Scrawlr, die op aangeven van Microsoft is ontwikkeld door HP. Deze is meer op de front-end, in dit geval dus de webpagina's, gericht. SQL Injector and Crawler, zoals de naam voluit luidt, scant de volledige website en zoekt naar gaten en zwakheden. Daarbij test het programmaatje zelf de gaten uit. Scrawlr is gratis, maar heeft een paar beperkingen. Het kan bijvoorbeeld niet meer dan 1500 pagina's afstruinen, biedt geen ondersteuning voor sites met authenticatie, en het kan geen database aanroepen.

Bron: Techworld