Quest'oggi ho provato il
Source Code Analyzer for SQL Injection, segnalato da
Lorenzo nel quo
post.
Già dopo aver letto il readme non ero molto soddisfatto, in quanto il prerequisito è il framework 3.0..
Pre-Requisites
The command line tool requires the following software
·
.NET Framework 3.0
Non solo, il controllo viene fatto per file per file (e quindi ogni comando controlla un file più il global.asa al massimo) e solo di file .asp.
Forse la scelta di controllare solo asp è dovuta al fatto che MS si fida che la gente utilizzi le query parametriche e/o stored procedure?
Fa sorridere, visto che di siti vulnerabili ce ne sono tantissimi e fatti anche con le più nuove tecnologie. E sui forum, qualche volta, si notano sviluppatori che sottovalutano un tantino il proteggersi, rimandando le correzioni a sviluppi futuri
. Per la sicurezza il tempo impiegato non è mai troppo e non è mai buttato. E' investito!
Comunque, per controllare un sito intero, consiglio il prodotto di HP
Scrawlr, che già
Davide aveva indicato e che MS stessa consiglia.
Ha però alcune limitazioni:
"Thus Scrawlr will only find SQL Injection vulnerabilities on GET Parameters; Scrawler will not submit forms, nor audit them. The list below summarizes the limitations:· 1500 Max Crawled URLs· No Script parsing during crawl· No Flash parsing during crawl· No form submissions during crawl (No POST Parameters)· Only simple proxy support· No authentication or login functionality· Does not check for blind SQL injection"Qui di seguito alcuni link aggiuntivi, come tips per difendersi:
Injection ProtectionPreventing SQL Injections in ASPHow To: Protect From SQL Injection in ASP.NETCoding techniques for protecting against Sql injectionFiltering SQL injection from Classic ASPSQL Injection AttackStay tuned!
