. Con la tecnología de Blogger.

martes, 23 de diciembre de 2008

Nuevas herramientas para bloquear y eliminar la inyección de SQL

El MSRC liberado un asesoramiento discute hoy que la reciente inyección de SQL y ataques anuncia tres nuevas herramientas para ayudar a identificar y bloquear este tipo de vulnerabilidades. The advisory discusses the new tools, the purpose of each, and the way each complements the others. The goal of this blog post is to help you identify the best tool to use depending on your role (ie Web Developers vs. IT administrators). El asesoramiento se analizan las nuevas herramientas, el objetivo de cada uno, y el modo en que cada complementario de los demás. El objetivo de este blog es para ayudarle a identificar la mejor herramienta a utilizar en función de su papel (es decir, frente a los desarrolladores web a los administradores de TI).

Web Developers Recommendations Desarrolladores Web Recomendaciones

  • The Microsoft Source Code Analyzer for SQL Injection (MSCASI) is a static code analysis tool that identifies SQL Injection vulnerabilities in ASP code (ASP pages are the ones that have been under attack). El código fuente de Microsoft para el Analizador de Inyección de SQL (MSCASI) es una herramienta de análisis de código que identifica las vulnerabilidades de inyección SQL en código ASP (páginas ASP son los que han estado bajo ataque). In order to run MSCASI you will need source code access and MSCASI will output areas vulnerable to SQL injection (ie the root cause and vulnerable path is identified). Para ejecutar MSCASI tendrá el código fuente de acceso y salida del MSCASI zonas vulnerables a la inyección de SQL (es decir, la causa raíz y vulnerables camino está identificado). In our view, fixing the root cause of the bug is the best way to eradicate vulnerabilities. En nuestra opinión, la fijación de la causa del error es la mejor manera de erradicar la vulnerabilidad. MSCASI scans ASP source code and generates warnings for first order and second order SQL Injection vulnerabilities . ASP MSCASI escanea el código fuente y genera avisos de primer orden y de segundo orden las vulnerabilidades de inyección SQL. Please refer to the SQL team’s blog and KB 954476 for more details. Por favor, consulte el blog del equipo de SQL y KB 954476 para obtener más detalles.

IT/Database Administrators Recommendations (as well as Web developers) IT / Recomendaciones Los administradores de bases de datos (así como a desarrolladores Web)

We are recommending two of the new tools announced today. Nosotros estamos recomendando dos de los nuevos instrumentos anunciados hoy. One can help identify SQL injection vulnerabilities by crawling the website. The other one aims to block potential SQL injection attacks by filtering malicious requests. Uno puede ayudar a identificar las vulnerabilidades de inyección de SQL de rastreo por el sitio web. El otro tiene por objeto bloquear posibles ataques de inyección de SQL de filtrado de peticiones maliciosas. The website crawler will be useful if you don't have access to the source code. El sitio web rastreador será útil si usted no tiene acceso al código fuente.

  • Microsoft worked with the HP Web Security Research group to release the Scrawlr tool. Microsoft trabajó con el HP Web del grupo de investigación sobre seguridad para liberar el Scrawlr herramienta. The tool will crawl a website, simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities. La herramienta de rastreo de un sitio web, al mismo tiempo el análisis de los parámetros de cada página web para las vulnerabilidades de inyección SQL. Scrawlr uses some of the same technology found in HP WebInspect but has been built to focus only on SQL Injection vulnerabilities. Scrawlr algunos usos de la misma tecnología que se encuentra en HP WebInspect, pero se ha construido a centrarse únicamente en las vulnerabilidades de inyección SQL. This will allow an IT/DB admin to easily find vulnerabilities similar to the ones that have been used to compromise sites in recent attacks. Esto permitirá una IT / PP administración para encontrar fácilmente las vulnerabilidades similares a las que se han utilizado para comprometer los sitios en los últimos ataques. No source code is required to run this tool. Código fuente no es necesario para ejecutar esta herramienta. From a starting URL, the tool recursively crawls that URL in order to build up a site tree that will be then analyzed for SQL injection vulnerabilities. A partir de una URL, la herramienta que rastrea recursivamente URL para crear un sitio de árboles que luego serán analizadas para detectar las vulnerabilidades de inyección SQL. For more information check out the HP Web Security Research blog . Para más información consulte la Web de HP blog de investigación sobre seguridad.
  • In order to block and mitigate SQL injection attacks (while the root cause is being fixed), you can also deploy SQL filters using a new release of URLScan 3.0. Con el fin de mitigar y bloquear ataques de inyección SQL (mientras que la causa se está fijo), también puede implementar filtros de SQL usando una nueva versión de URLScan 3.0. This tool restricts the types of HTTP requests that Internet Information Services (IIS) will process. Esta herramienta restringe los tipos de peticiones HTTP que Servicios de Internet Information Server (IIS) de proceso. By blocking specific HTTP requests, UrlScan helps prevent potentially harmful requests from being executed on the server. Al bloquear peticiones HTTP concretas, UrlScan ayuda a evitar posibles peticiones de ser ejecutado en el servidor. It uses a set of keywords to block certain requests. If a bad request is detected, the filter will drop the request and it will not be processed by SQL. Utiliza un conjunto de palabras clave para bloquear determinadas peticiones. Si una solicitud mal es detectado, el filtro y la caída de la solicitud no será procesada por SQL. That said, if a SQL injection flaw has been identified, we highly encourage you to fix the root cause of the problem instead of attempting to produce the perfect filter (since in our view this is error prone). Dicho esto, si una falla de inyección de SQL ha sido identificado, es muy invitamos a fijar la causa raíz del problema en lugar de tratar de producir el perfecto filtro (ya que en nuestra opinión este es propenso a errores). Please refer to one of the two IIS blog posts ( 1 , 2 ) and the technical documentation Por favor, diríjase a uno de los dos IIS blog (1, 2) y la documentación técnica for more details. para más detalles.

The following table summarizes the pros and cons of these tools. La siguiente tabla resume las ventajas y desventajas de estas herramientas.

Tool Herramienta Usage Uso Pros Cons Users Usuarios
MSCASI Identifies SQL Injection vulnerabilities in ASP code through static source code analysis. Identifica vulnerabilidades de inyección SQL en código ASP a través de análisis estático de código fuente. Identify the root cause of the bug at the source code level. Identificar la causa raíz del error en el código fuente. This version currently only works on ASP pages. Esta versión sólo funciona actualmente en las páginas ASP. Web developers Desarrolladores Web
Scrawlr Detect SQL vulnerability using runtime analysis by crawling a website. Detectar la vulnerabilidad de SQL utilizando el análisis de tiempo de ejecución por el rastreo de un sitio web. No source code is required. Código fuente no es obligatorio. Cannot identify the line of code responsible. No se puede identificar la línea de código responsables. IT/DB Administrator,Web developers IT / Administrador PP, desarrolladores Web
UrlScan v3.0 Beta UrlScan v3.0 beta Runtime filtering that blocks the types of HTTP requests that Internet Information Services (IIS) will process. Tiempo de ejecución de bloques de filtrado que los tipos de peticiones HTTP que Servicios de Internet Information Server (IIS) de proceso. URLScan filter can be easily deployed to mitigate SQL injection attack while the root cause is being fixed. URLScan filtro puede ser fácilmente desplegado para mitigar ataques de inyección de SQL, mientras que la causa está siendo fijo. Not fixing the root cause, thus the risk has not been eliminated completely. No fijación de la causa raíz, por lo tanto, el riesgo no se ha eliminado completamente. IT Administrators Los administradores de TI

como dice en ASP
Fuente
translated

Publicado por Darioxhcx en 11:33

Etiquetas:

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)