• Tweet

Microsoft esta consciente de una reciente ola de ataques contra sitios Web que utilizan tecnologías como Microsoft ASP y ASP.NET . Estos ataques de SQL injection no explotan una vulnerabilidad de software específico, el problema radica en que los sitios Web (donde ejecutan esta técnica) no siguen las buenas prácticas de codificación seguras para acceder y manipular los datos almacenados en una base de datos. Cuando un ataque de SQL tiene éxito, un atacante puede comprometer los datos almacenados en estas bases de datos y posiblemente ejecutar código remoto. Mientras los clientes realizan transacciones al servidor comprometido, esta información puede estar siendo transmitida sin que los clientes lo noten a sitios maliciosos, estos sitios maliciosos responden tratando de instalar software malicioso en las máquinas cliente.

Esta vulnerabilidad no es explotable en aplicaciones Web que siguen las mejores prácticas de seguridad y codificación, las cuales garantizan que la aplicación Web verifique los datos del usuario al momento de ser introducidos.

Microsoft ha identificado varias herramientas para ayudar a los administradores. Estas herramientas abarcan desde la detección, defensa y hasta la búsqueda de posibles codificaciónes que puedan ser explotadas por un atacante.

Detección - HP Scrawlr - Hewlett Packard ha desarrollado un escáner gratuito que puede determinar si los sitios son sensibles a SQL injection.

Defensa - UrlScan versión Beta 3,0 - Es una herramienta de seguridad que restringe algunos tipos de peticiones HTTP que Internet Information Services (IIS) posteriormente procesa. Al bloquear peticiones HTTP concretas, UrlScan ayuda a evitar posibles solicitudes que intentan llegar a la aplicación Web en el servidor.

Identificación - Microsoft Source Code Analyzer para SQL injection - Esta herramienta puede ser utilizada para detectar código ASP susceptible a ataques de SQL injection.

Identificación - Microsoft Source Code Analyzer para SQL injection - Esta herramienta puede ser utilizada para detectar código ASP susceptible a ataques de SQL injection.