« A evolução do malware e o que você pode fazer contra isto | Main | A Queda de um Mito, por Eduardo V. C. Neves »

MS ataca injeção de SQL em sites

Publicado no Blog da Info

 

A Microsoft liberou esta semana ferramentas para combater ataques por injeção de SQL em web sites.

Recentemente, atacantes invadiram sites legítimos que usam o SQL da Microsoft e injetaram nas páginas códigos maliciosos em JavaScript. Esses códigos redirecionam o browser para servidores que abrigam programas nocivos e infectam a máquina do visitante.

Voltada para desenvolvedores web, as novas ferramentas são gratuitas e objetivam prevenir esse tipo de ataque. São três aplicações. A primeira é HP Scrawlr. Desenvolvida pela HP, identifica se o site é suscetível a injeção de SQL.

Outro produto é o URL Scan 3.0 Beta, da própria Microsoft, que tem a função de defesa. O URL Scan restringe os tipos de requisições HTTP que o servidor IIS processa. O produto pode ser instalado no IIS 5.1 e versões posteriores.

Por fim, vem o Source Code Analyzer for SQL Injection, ferramenta também assinada pela Microsoft. Seu objetivo é detectar códigos ASP e ASP.net vulneráveis a ataques de injeção de SQL. Detalhes técnicos sobre os três produtos encontram-se no boletim de segurança 954462, de 24 de junho de 2008.

Posted by conviso on junho 26, 2008 11:35 AM |

TrackBack

TrackBack URL for this entry:
http://convisosec.com/blog-mt/mt-tb.fcgi/14

Post a comment

(If you haven't left a comment here before, you may need to be approved by the site owner before your comment will appear. Until then, it won't appear on the entry. Thanks for waiting.)