SQL Server ed ALM su database


Il blog di Alessandro Alpi
Archivio Posts
Anno 2017

Anno 2016

Anno 2015

Anno 2014

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006

Prova di Source Code Analyzer for SQL Injection

Quest'oggi ho provato il Source Code Analyzer for SQL Injection, segnalato da Lorenzo nel quo post.
Già dopo aver letto il readme non ero molto soddisfatto, in quanto il prerequisito è il framework 3.0..

Pre-Requisites

The command line tool requires the following software

·         .NET Framework 3.0


Non solo, il controllo viene fatto per file per file (e quindi ogni comando controlla un file più il global.asa al massimo) e solo di file .asp.
Forse la scelta di controllare solo asp è dovuta al fatto che MS si fida che la gente utilizzi le query parametriche e/o stored procedure?
Fa sorridere, visto che di siti vulnerabili ce ne sono tantissimi e fatti anche con le più nuove tecnologie. E sui forum, qualche volta, si notano sviluppatori che sottovalutano un tantino il proteggersi, rimandando le correzioni a sviluppi futuri . Per la sicurezza il tempo impiegato non è mai troppo e non è mai buttato. E' investito!

Comunque, per controllare un sito intero, consiglio il prodotto di HP Scrawlr, che già Davide aveva indicato e che MS stessa consiglia.
Ha però alcune limitazioni:

"Thus Scrawlr will only find SQL Injection vulnerabilities on GET Parameters; Scrawler will not submit forms, nor audit them. The list below summarizes the limitations:
·    1500 Max Crawled URLs
·    No Script parsing during crawl
·    No Flash parsing during crawl
·    No form submissions during crawl (No POST Parameters)
·    Only simple proxy support
·    No authentication or login functionality
·    Does not check for blind SQL injection"

Qui di seguito alcuni link aggiuntivi, come tips per difendersi:

Injection Protection
Preventing SQL Injections in ASP
How To: Protect From SQL Injection in ASP.NET
Coding techniques for protecting against Sql injection
Filtering SQL injection from Classic ASP
SQL Injection Attack


Stay tuned!
Categoria: Generale
giovedì, 10 lug 2008 Ore. 09.58
Statistiche
  • Views Home Page: 408.957
  • Views Posts: 757.793
  • Views Gallerie: 439.602
  • n° Posts: 478
  • n° Commenti: 270





















Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003