Security Advisory 954462 - työkaluja ja ohjeita SQL Injection -hyökkäysten estämiseen

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 954462 ja otsikoltaan "Rise in SQL Injection Attacks Exploiting Unverified User Data Input". Advisory koskee SQL Injection -hyökkäyksiä, joiden määrä on viime aikoina ollut voimakkaassa kasvussa. Hyökkäykset ovat monesti kohdistuneet sivustoihin, joissa hyödynnetään Microsoftin ASP- tai ASP.NET-ohjelmointitekniikoita. Ongelma ei johdu mistään haavoittuvuudesta, vaan pikemminkin siitä, että sivustojen ohjelmoijat eivät tarkista käyttäjän antamia syötteitä, ennen kuin niiden perusteella muodostetaan SQL-kyselylauseita. Näin vihamielinen hyökkääjä voi mahdollisesti päästä muokkaamaan SQL-kyselylauseen haluamallaan tavalla ja päästä käsiksi tietoihin, joihin hänellä ei pitäisi olla pääsyä, tai muulla tavoin aiheuttaa haittaa tietokannan sisältämiin tietoihin. 

Hyökkäysten estämiseksi ja ohjelmakoodin parantamiseksi Microsoft on julkaissut joukon ohjeita, joissa käsitellään SQL Injection -hyökkäyksiä ja niiden estämistä, sekä kolme työkalua, joita ohjelmoijat ja sivustojen ylläpitäjät voivat hyödyntää ongelmien ratkaisemiseksi. Tarkempia tietoja löytyy englanninkielisestä Security Advisorystä. Lisätietoja myös Microsoft Security Response Centerin blogissa.