ابزار رایگان برای جلوگیری از حملات تزریقی SQL

اوایل امسال، تعداد حملات تزریقی SQL به کاربران تکنولوژیهای مایکروسافت، ناگهان سیر صعودی یافت. تزریق SQL یک تکنیک معمولی است که از فیلدهای ورودی نشده در یک برنامه کاربردی وب بهره برداری میکند. مثلاً فرض کنید شما یک برنامه کاربردی دارید که به کاربران اجازه میدهد تا نام و نام خانوادگی خود را در فیلدهای ورودی جداگانه در یک صفحه وب وارد کنند. یک کاربر معمولی ممکن است Bob,Savannah یا Nguyen را در یک فیلد ورودی وارد کند. بهرحال، یک کاربر بدخواه ممکن است "Robert');DROP TABLE students;--," را وارد کند که به این برنامه کاربردی خسارت وارد خواهد کرد. این نوع حمله، حمله تزریقی SQL نام دارد چرا که حمله کننده یک دستور SQL را به داخل فیلد ورودی، ضمیمه یا تزریق میکند.

از برنامه های کاربردی ASP.NET و ASP خود محافظت کنید
حمله های تزریقی SQL فقط در بانک های اطلاعاتی SQL Server که از برنامههای کاربردی پیشرویASP و ASP.NET پشتیبانی میکنند، رخ نمیدهد. این حملات میتوانند در برنامههای کاربردی PHP با خادمهای MySQL (back end) و برنامههای کاربردی Java با خادم های Oracle هم رخ دهند. تمام پلت فرمهای بانک اطلاعاتی در برابر حملات تزریقی SQL آسیب پذیرند. شما
میتوانید با کردن فیلدهای ورودی در صفحات وب خود، مانع این حملات شوید، به گونه ای که تنها مقادیر مجاز اجازه ورود داشته باشند.


به خاطر سیر صعودی حملات تزریقی SQL، مایکروسافت توصیههای امنیتی مهمی را منتشر کرده است که در سایت www.microsoft.com/technet/security/advisory/954462.mspx موجود است. این توصیههای امنیتی به 3 ابزار زیر اشاره دارد که میتوانید با برنامه های کاربردی ASP و ASP.NET خود از آنها استفاده کنید تا مانع از حملات تزریقی SQL شوید:

* HPScrawlr : این برنامه کمکی اسکنر رایگان میتواند مشخص کند که آیا وب سایت شما مستعد حمله تزریقی SQL است یا خیر. این برنامه کاربردی به آرامی وب سایت را بررسی میکند ، فیلدهای ورودی هر صفحه وب را برای یافتن نقاط آسیب پذیر در مقابل تزریق SQL ، تجزیه و تحلیل
مینماید(توجه داشته باشید که این برنامه در پارامترهای JavaScript ،flash parsing یا POST

کار نمی کند). شما میتوانید در سایت زیر اطلاعات بیشتری را در خصوص HP Scrawlr بیابید.
www.communities.hp.com/securitysoftware/blogs.spilabs/archive/2008/06/23/finding-sqsl-injectian-with-scrawlr.aspx

*URLScan : این ابزار امنیتی به طور فعال نوع درخواستهای HTTP را که Microsoft IIS پردازش میکند، محدود مینماید. URLScan جایگزینی برای برنامه نویسی صحیح یک برنامه کاربردی وب محسوب نمیشود، اما میتواند مانع از دسترسی برخی درخواست های خطرناک به برنامه کاربردی وب و SQL Server شود. این ابزار در IIS5.1 و بالاتر از جمله IIS 7.0 برای Windows Server 2008 کار می کند. برای اطلاعات بیشتر در مورد URLScan به آدرس:
www.learn.iis.net/page.aspx/473/using-urlscan
مراجعه کنید.

* Microsoft Source Code Analyzer for SQL Injectiion : این ابزار خط فرمان، کد منبع ایستای ASP شما را که در VBScript نوشته شده(نه در ASP.NET) تجزیه و تحلیل میکند و نقاط آسیب پذیر احتمالی در حملات تزریقی SQL را مشخص مینماید. سپس این ابزار گزارش مفصلی از نقاط آسیب پذیری که شناسایی کرده و همچنین راهکارهای احتمالی ارائه میدهد. Microsoft Source Code Analyzer for SQL Injectiion در سایت زیر موجود است :
www.microsoft.com/downloads/details.aspx?Family-A599-4FCB-9AB4-A4334146B6BA&displaylang=en

طراحی و توسعه ی برنامه های کاربردی با ایمنی در ذهن
گرچه هر یک از این ابزارها میتوانند مانع از نفوذ و آسیب رساندن یک حمله کننده به وب سایت و بانک اطلاعاتی شما شوند، اما هیچ یک از آنها نمیتواند به اندازه طراحی و تولید برنامه کاربردی با امنیتی در ذهن، موثر واقع شود.
تزریق SQL یک سبک قدیمی هک کردن وب سایتهاست و زمانیکه بررسیهای مقدار (value check) ازابتدا درون کد نوشته میشوند، میتوان به راحتی جلوی آن را گرفت.

منبع


Similar Threads: