Microsoft bleue Prenant très à coeur son relativement récent rôle joué dans le domaine de la sécurité informatique en tant qu'éditeur, Microsoft s'est fendu d'un avis de sécurité dans lequel il a parlé injection SQL. Aux dires de Microsoft, cette technique pirate consistant à avoir recours à une requête SQL pour injecter du code malicieux serait très en vogue actuellement pour des attaques perpétrées à l'encontre de sites Web utilisant ses technologies ASP et ASP.NET.

Néanmoins, aucune exploitation d'une vulnérabilité spécifique à une application n'est à incriminer, et Microsoft de pointer du doigt des pratiques de codage un peu trop laxistes pour les sites Web qui manipulent des données stockées dans une base, des données dès lors placées sous la menace d'une attaque. De telles erreurs de codage sont par ailleurs également considérées comme des vulnérabilités.


Utilitaires gratuits pour contrer les attaques par injection SQL
Pour aider les administrateurs de sites Web à lutter contre les attaques par injection SQL, Microsoft leur propose URLScan. L'utilitaire maison de Microsoft existe depuis un certain temps déjà, mais Microsoft vient de publier une toute fraîche version 3.0 pour le moment encore en version bêta. Il s'agit d'un filtre permettant de restreindre le type de demandes HTTP à traiter par le serveur Web IIS (Internet Information Services). URLScan bloque les demandes HTTP dangereuses, et les empêchent donc d'atteindre le serveur.

Afin de parfaire l'arsenal de défense, Microsoft fait également la promotion de Source Code Analyzer for SQL Injection (version CTP de juin 2008) pour détecter du code ASP susceptible de subir des attaques par injection SQL, ainsi que de Scrawlr, qui a ceci de particulier d'avoir été développé en collaboration avec Hewlett-Packard. Via Scrawlr, il suffit de saisir une adresse URL pour identifier toutes les pages vulnérables à l'injection SQL.