Værktøjer beskytter mod SQL-indsætning

Artiklen blev oprindeligt publiceret den 27/6/2008

Microsoft og HP har udsendt gratis værktøjer, der hjælper med at afgøre, om et websted er sårbart over for SQL-indsætning.

SQL-indsætning er en angrebsmetode, der udnytter fejl i programmeringen af en webservers kommunikation med en database. Der har været en stor mængde automatiserede angreb med SQL-indsætning i år.

Værktøjerne løser tre opgaver: Opdagelse, beskyttelse og forebyggelse.

Til at opdage sårbare websteder kan man bruge HP's værktøj HP Scrawlr. Man giver værktøjet en URL, hvorefter det finder alle links på webstedet. De tjekkes så for, om man kan indsætte SQL-kommandoer og dermed få direkte adgang til databasen.

Til beskyttelse mod angreb med SQL-indsætning kan man anvende UrlScan, hvis version 3.0 nu er ude i betatest. Den begrænser, hvilke former for HTTP-forespørgsler IIS må behandle.

For at forebygge problemer kan man analysere sin ASP-kode med Microsoft Source Code Analyzer for SQL Injection. Det fortæller, om der er sikkerhedsproblemer i programkoden.

Værktøjerne kan hentes hos HP og Microsoft.

Links

• Microsoft-advarsel om SQL-indsætning med omtale af værktøjerne
• Information fra HP om Scrawlr
• UrlScan v3.0 Beta
• Microsoft Source Code Analyzer for SQL Injection