Microsoft : croisade contre les attaques par injection SQL

Le par  |  5 commentaire(s)
Microsoft bleue

Microsoft note une recrudescence des attaques par injection SQL, et pour s'en prémunir fait la promotion d'outils développés par ses soins et par Hewlett-Packard.

Microsoft bleuePrenant très à coeur son relativement récent rôle joué dans le domaine de la sécurité informatique en tant qu'éditeur, Microsoft s'est fendu d'un avis de sécurité dans lequel il a parlé injection SQL. Aux dires de Microsoft, cette technique pirate consistant à avoir recours à une requête SQL pour injecter du code malicieux serait très en vogue actuellement pour des attaques perpétrées à l'encontre de sites Web utilisant ses technologies ASP et ASP.NET.

Néanmoins, aucune exploitation d'une vulnérabilité spécifique à une application n'est à incriminer, et Microsoft de pointer du doigt des pratiques de codage un peu trop laxistes pour les sites Web qui manipulent des données stockées dans une base, des données dès lors placées sous la menace d'une attaque. De telles erreurs de codage sont par ailleurs également considérées comme des vulnérabilités.


Utilitaires gratuits pour contrer les attaques par injection SQL
Pour aider les administrateurs de sites Web à lutter contre les attaques par injection SQL, Microsoft leur propose URLScan. L'utilitaire maison de Microsoft existe depuis un certain temps déjà, mais Microsoft vient de publier une toute fraîche version 3.0 pour le moment encore en version bêta. Il s'agit d'un filtre permettant de restreindre le type de demandes HTTP à traiter par le serveur Web IIS (Internet Information Services). URLScan bloque les demandes HTTP dangereuses, et les empêchent donc d'atteindre le serveur.

Afin de parfaire l'arsenal de défense, Microsoft fait également la promotion de Source Code Analyzer for SQL Injection (version CTP de juin 2008) pour détecter du code ASP susceptible de subir des attaques par injection SQL, ainsi que de Scrawlr, qui a ceci de particulier d'avoir été développé en collaboration avec Hewlett-Packard. Via Scrawlr, il suffit de saisir une adresse URL pour identifier toutes les pages vulnérables à l'injection SQL.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #261691
Je viens de tester Scrawlr avec un site en asp rempli de faille d'injection SQL par URL, résultat :

0 faille détecté par le logiciel ...

Pas convaincu
Le #261721
Non mais c'est TON site (TES fichiers ASP/PHP) que tu dois scanner ! Tu n'as pas accès au code SQL des sites ASP (ou même PHP), heureusement encore !!!

Si tu pouvais scanner n'improte quel site ce logiciel serait un logiciel pirate ! Logique tu pourrais voir n'importe quel requête SQL et t'en servir tranquillement.
Le #261841
télécharge Scrawlr et essaye le. tu verra que c'est pour tester les URLs d'un site. Car une grande partie des SQL injection se font a partir des urls
Le #261901
Bon, je ne code pas en ASP mais en php mais ca me concerne aussi
Enfin, je voulais surtout dire que si les gens prenaient le soins de bien coder leurs pages (une classe php qui évite les injections sql c'est pas la mort et réutilisable à vie...) il n'y aurait pas autant de problèmes.

Bref, aucun site ne peut se plaindre d'avoir subit une attaque par injection sql, il avait qu'a coder proprement.

Vala
Le #262101
j'ai bien l'impression que tu as raison ograweb. d'ailleurs, accèder au contenu du fichier ASP/PHP via une url http, je crois pas que ca soit très possible, vu que IIS renvoie au client uniquement le code HTML de la page... donc ce truc est bien un "outil de piratage" (mais bon l'injection SQL c'est pas la faille du siècle non plus, suffit de pas programmer comme un bourrin...

@tagazok : +1
et j'ai une petite question technique en passant : en asp.net il y a un objet "sqlparameter" qui permet de passer des paramètres à une requete en spécifiant son type. donc exit la SQL injection <img src="/img/emo/cool.gif" alt="8:" />
mais sais-tu si quelque chose du genre existe pour PHP ? ca pourrait me servir, je compte m'y mettre un de ces jours...

Merci d'avance
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]