111998

Microsoft-Tools helfen gegen SQL-Injection

18.09.2008 | 10:01 Uhr |

Zwei kostenlose Tools von Microsoft und eines von Hewlett-Packard sollen Betreibern von ASP-basierten Websites gegen Angriffe schützen. Vor allem das Kompromittieren von SQL-Datenbanken soll dadurch verhindert werden.

Die Angriffe auf Websites , die Microsofts ASP- und ASP.NET-Technologien verwenden, haben in der letzten Zeit dramatisch zugenommen. In einem Advisory verweist der Hersteller allerdings darauf, dass nicht etwa Schwachstellen an diesen Basistechnologien die Ursache dafür seien, sondern vielmehr das Ignorieren von Richtlinien und Best Practices bei der Programmierung der Websites.

Microsoft empfiehlt als Abhilfe drei verschiedene Tools, um Fehler in Web-Anwendungen auf Basis von ASP und ASP.NET ausfindig zu machen und zu reparieren. Zwei dieser Tools kommen aus dem eigenen Haus, eines von HP. Laut Microsoft ist das eine Reaktion auf den Wunsch vieler Kunden nach mehr Unterstützung bei der Abwehr von Angriffen auf ihre Websites.

Beim ersten Tool handelt es sich um "URLScan", das nun in der Version 3.0 vorliegt. Es kommt direkt aus Microsofts Internet Information Services Division (IIS). URLScan soll einen Internet-Server vor verdächtigen HTML-Anfragen schützen, indem es potenziell schädliche Requests abblockt. Das Tool könne alle bisher bekannten Angriffsvarianten herausfiltern, heißt es vom Konzern. Allerdings handelt es sich bei URLScan 3.0 laut Microsoft eher um eine Lösung, die Entwickler auf Schwachstellen in ihrem Code in ihrer Website aufmerksam machen soll und der hinterher auch repariert gehört, als um eine vollwertige Security-Lösung.

Das zweite Werkzeug, "SQL Source Code Analysis Tool", ist unter Mitwirkung der SQL-Entwickler in Redmond zustande gekommen. Es analysiert ASP-Programme und versucht Code-Passagen zu identifizieren, die anfällig für SQL-Injection-Angriffe erscheinen. Die Evaluierung der Ergebnisse und etwaige Korrekturen müssen von den Entwicklern selbst vorgenommen werden. Das Tool unterstützt allerdings (noch) nicht Microsofts Web-Application-Framework ASP.NET.

0 Kommentare zu diesem Artikel
111998