If a man does not keep pace
with his companions, perhaps
it is because he hears a
different drummer.
Henry David Thoreau
Prevencia pred SQL Injection od Microsoftu
Spoločnosť Microsoft vydala bezpečnostný posudok, ktorý zabezpečiť prevenciu systémov jej klientov voči čoraz častejšie sa objavujúcim masový SQL injection útokom v prostredí internetu. Zaujímavosťou tohto posudku oproti všetkým ostatným, ktoré táto spoločnosť vydáva je to, že sa v ňom takmer nevenuje svojim konkrétnym produktovým riešeniam, ale skôr oboznámeniu vývojárov so spôsobmi tvorby bezpečných zdrojových kódov určených na prístup a prácu s dátami relačných databáz.
V rámci vydaného posudku sa Microsoft rozhodol predstaviť tri základné prístupy k zvýšeniu ochrany pred ohrozením vo forme SQL injekcií.
Runtime skenovanie
Spoločnosť HP vydala za účelom ochrany pred ohrozením tohto druhu nástroj WebInspect. Ide o skener webových aplikácií, ktorý je schopný testovať ich voči zranitelnosti na SQL injection priamo počas ich prevádzky. Nejde však o nijak sofistikovaný nástroj a mal by preto byť použitý len v prípadoch nevyhnutnej potreby.
URLScan
URLScan je základným firewallom pre webové aplikácie z dielní Microsoftu, pričom jeho hlavnou funkcionalitou je blokovanie nevhodných či neprípustných požiadaviek zo strany klientov, ktoré by fungovanie systému mohli ohroziť. Samotný Microsoft však odporúča používať toto riešenie iba v náročnejších obdobiach.
Kontrola zdrojových kódov
Microsoft vydal nástroj určený na automatizovanú kontrolu zdrojových ASP kódov so zameraním na odhalovanie zranitelností voči SQL injection. Skúsenosti užívateľov s týmto nástrojom sú pritom zatiaľ veľmi pozitívne, pričom za najväčšiu výsadu tohto nástroja je považovaný fakt, že oproti ostatným podobným riešeniam generuje len veľmi malé množstvo nereálnych poplašných hlásení.
- Pre písanie komentárov sa musíte prihlásiť alebo zaregistrovať.