Un mese fa erano stati segnalati numerosi attacchi a molti portali, alcuni anche molto grandi e rinomati, che si basavano su IIS, e che sembrava avessero sfruttato bug di tipo SQL Injection. Microsoft, sentendosi chiamata in causa (poichè IIS è di sua produzione), aveva subito precisato che il suo webserver non presentavas bug per quanto riguardava quella tipologia di attacchi, e che quindi le cause dei defaces andassero imputati unicamente ai webmasters. Ieri è però tornata sull’ argomento, presentando alcuni consigli volti a scongiurare il rischio di incappare inq ueste temibili SQL Injection. Per scoprire di cosa si trattano, vi rimando a questo articolo che avevo scritto tempo fa per WebMasterPoint nel quale ho esaminato nello specifico cosa sono e le varie tipologie di attacchi. Ma torniamo ai consigli Microsoft, che sono stati:

1. Utilizzare UrlScan, un tool che si preoccupa di bloccare alcune specifiche richieste via HTTP, aiutando a limitare sensibilmente le azioni svolte in remoto e potenzialmente pericolose per la stabilità e la sicurezza dei dei sistemi SQL;
2. Utilizzare lo strumento Source Code Analyzer for SQL Injection che, una volta installato, scansiona ad una ad una le pagine ASP del sito in questione mostrando al webmaster i punti potenzialmente soggetti ad SQL Injection;
3. Infine, lo scanner gratuito offerto da Hewlett Packard, HP Scrawlr. Basta inserire il dominio da controllare ed il tool inizia a provare, per ciascuna pagina, alcuni attacchi di tipo injection, riportando con descrizioni dettagliate qualli andati a buon fine.

Questi sono i consigli di Microsoft, noi ci stiamo occupando ora di raccogliere i consigli di esperti di sicurezza e di programmazione web proprio su questo tema, e presto vi pubblicheremo le loro dritte!

Dai visibilità al problema: Tweet #siamoeroi