Augant masiškai išnaudojamų SQL injekcijos pažeidžiamumų grėsmei, susijusiai su kenksmingos programinės įrangos platinimu, „Microsoft“ išleido nemokamus įrankius, padėsiančius programuotojams bei IT administratoriams pastebėti ir pašalinti šias problemas.
Augant masiškai išnaudojamų SQL injekcijos pažeidžiamumų grėsmei, susijusiai su kenksmingos programinės įrangos platinimu, „Microsoft“ išleido nemokamus įrankius, padėsiančius programuotojams bei IT administratoriams pastebėti ir pašalinti šias problemas.
Trumpa šių trijų naujų įrankių apžvalga:
„Scrawlr“: Programa skenuos interneto puslapį, analizuodama kiekvieno puslapio parametrus dėl SQL injekcijos problemų. „Scrawlr“ yra sukurtas kartu su „HP WebInspect“ komanda ir naudoja dalį „HP WebInspect“ technologijų, bet yra nutaikytas į SQL injekcijų paiešką. Šis įrankis turi tam tikrų apribojimų – skenuojami tik 1500 puslapių, nėra injekcijų paieškos formose, sausainėliuose. Taip pat nėra aklųjų SQL injekcijų paieškos.
„Microsoft Source Code Analyzer for SQL Injection“: Tai statinės kodo analizės įrankis, kurio pagalba galima analizuoti ASP kodą ir nustatyti problemines vietas, susijusias su SQL injekcijomis.
„URLScan 3.0“: Šis įrankis apriboja HTTP užklausų tipus, kurias apdoros Internet Information Services (IIS) web serveris. Blokuojant specifines HTTP užklausas, „UrlScan“ padeda sustabdyti potencialiai pavojingas užklausas. Tam yra naudojami raktiniai žodžiai, juos aptinkant užklausoje ji yra atmetama. Kažkuria prasme tai yra ModSecurity analogas IIS WEB platformai.
Atsisisiųsti minėtus įrankius galima:
Scrawlr – https://download.spidynamics.com/Products/scrawlr/
Microsoft Source Code Analyzer for SQL Injection – http://support.microsoft.com/kb/954476
UrlScan – http://learn.iis.net/page.aspx/473/using-urlscan