Injections SQL en hausse : UrlScan est de retour

Vous avez peut-être lu l'avis de sécurité Microsoft 954462 publié hier le 24 juin :

• En français - Augmentation des attaques par injection SQL exploitant des entrées de données utilisateur non vérifiées
• En anglais - Rise in SQL Injection Attacks Exploiting Unverified User Data Input

Cet avis est intéressant à plus d'un titre : tout d'abord, il est révélateur du fait que les vulnérabilités peuvent se trouver à tous les niveaux d'un système. Plus les couches réseau et système sont "sécurisées" (notez les guillemets : "sécurisé" reste toujours une notion relative), plus les attaques vont se porter sur les couches applicatives.

Cet avis donne donc l'occasion de se pencher à nouveau sur les conseils de développement sécurisé, et notamment sur le principe "never trust user input!" : toute entrée utilisateur doit être contrôlée avant d'être utilisée.

Autre point intéressant : le retour d'UrlScan ! En effet, une version 3.0 beta fait son apparition, compatible avec IIS version 5.1 à 7 (Windows Server 2008). Entre autres améliorations, USRScan 3.0 peut maintenant contrôler la requête complète (après le '?'), ce qui peut servir de solution de contournement temporaire en attendant la correction des applications web vulnérables.

Plus d'informations dans l'avis (notamment sur des outils d'analyse de code) et dans ces articles :

• UrlScan 3.0 Beta and Tools to Help Mitigate SQL Injection Attacks
• Using UrlScan

Comments

• Anonymous
  January 01, 2003
  J'en parlais en juin : UrlScan fait son come back , avec une version 3.0 adaptée aux dernières

• Anonymous
  January 01, 2003
  PingBack from http://blogs.technet.com/dacohen/archive/2008/07/03/injection-sql-le-retour.aspx