Microsoft выпустила инструментарий защиты и обнаружения SQL-инъекций
Microsoft выпустила инструментарий защиты и обнаружения SQL-инъекций для помощи веб-дизайнерам в борьбе с атаками на страницы, использующие технологии ASP и ASP.Net. Вышедший набор включает программу URLScan 3.0, находящуюся на стадии бета-версии, а также Microsoft Source Code Analyzer for SQL Injection (MSCASI), доступную со статусом Community Technology Preview. Вдобавок совместно с Microsoft компания HP (точнее отдел HP Web Security Research Group) выпустила утилиту Scrawlr для обнаружения SQL-инъекций.
Как сказано в информационном бюллетене, компания обеспокоена последними атаками на сайты с ASP и ASP.Net, которые не следуют практике обеспечения наилучшей безопасности. Внедрение SQL-инъекций дает возможность перенаправлять посетителей на сайты, откуда происходит даунлоад вредоносных модулей. Хакерам не необходимо ориентироваться на определенное ПО со стороны посетителей, предметом атаки становится сам сайт. Выпущенные программы подходят к проблеме с разных сторон. MSCASI анализирует код ASP на предмет наличия уязвимостей, UrlScan 3.0 блокирует подозрительные обращения, Scrawlr обновляет инструмент фильтрации URLScan IIS и способен проводить проверку URL по требованию.