Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection


Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection, poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità di Microsoft SQL Server, piuttosto sfruttano le debolezze di siti web non realizzati seguendo le best practice di secure coding per la gestione dei dati in ingresso). Purtroppo l’evidenza di un problema che non mostra di rallentare la sua diffusione su scala internazionale ha portato Microsoft a pensare opportunamente a nuovi strumenti da fornire agli amministratori dei sistemi per identificare e correggere i difetti del codice web di pagine ASP e ASP.NET, suscettibili di attacchi di SQL Injection.

E proprio allo scopo di segnalare la disponibilità di queste risorse (nuovi strumenti e documentazione) è stato emesso ieri uno specifico "Microsoft Security Advisory (954462) – Rise in SQL Injection Attacks Exploiting Unverified User Data Input", che vi invito a leggere approfonditamente. Gli elementi essenziali sono la segnalazione di 3 tool:

e il riepilogo di importanti risorse documentali sul tema:


Share this post :

Comments (3)

  1. Anonymous says:

    In seguito all’aumento degli attacchi di tipo SQL injection (che non sfruttano vulnerabilità di SQL Server,

  2. Marco says:

    Buongiorno,

    Purtroppo, per un attacoo ad un sito da me realizzato, ho già testato il Microsoft Source Code Analyzer for SQL Injection, e stranamente non mi ha segnalato nessun errore su pagine asp contenenti codice del tipo "SELECT value FROM tabella WHERE …" che è attaccabile. E’ possibile che lo strumento microsoft analizzi il codice asp ricercando solo le classiche chiamate ADO invece di analizzare il solo testo T-SQL? (io utlizzo delle chiamate realizzate ad hoc in delphi)

  3. @Marco: al momento non riesco a darti una risposta esaustiva, oltre al riportarti una frase dell’articolo descrittivo del tool che nella sezione "limitations" dice "The tool understands only ASP code that is written in VBScript".