3ابزار رايگان براي جلوگيري از حملات تزريقي SQL
نقاط آسيب پذير وب سايت و بانک هاي اطلاعاتي خود را بيابيد، قبل از آنکه حمله کنندگان اقدام به اين کار کنند.
اوايا امسال ، تعداد حملات تزريقي SQL به کاربران تکنولوژي هاي مايکرو سافت، ناگهان سير صعودي يافت. تزريق SQL يک تکنيک معمولي است که از فيلدهاي ورودي فيلتر نشده در يک برنامه کاربردي وب بهره برداري مي کند. مثلاً فرض کنيد شما يک برنامه کاربردي داريد که به کاربران اجازه مي دهد تا نام و نام خانوادگي خود را در فيلدهاي جداگانه در يک صفحه وب وارد کنند. يک کاربر معمولي ممکن استSavannah , Bob يا Nguyen را در يک فيلد ورودي وارد کند. به هر حال، يک کاربر بدخواه ممکن است "ROBERTً);DROP TABLE students ;--," را وارد کند که به اين برنامه کاربردي خسارت وارد خواهد کرد. اين نوع حمله، حمله تزريقي SQL نام دارد چرا که حمله کننده يک دستور SQL را به داخل فيلد ورودي، ضميمه يا تزريق مي کند. از برنامه هاي کاربردي ASP.NET و ASP خود محافظت کنيد. حمله هاي تزريقي SQL فقط در بانک هاي اطلاعاتي SQL Server که از برنامه هاي کاربردي پيشروي ASP وASP.NET پشتيباني مي کنند، رخ نمي دهد. اين حملات مي توانند در برنامه هاي کاربردي PHP با خادم هاي MYSQL (BACK END و برنامه هاي کاربردي Java با خادم هاي Oracle هم رخ دهند. تمام پلت فرم هاي بانکي اطلاعاتي در برابر حملات تزريقي SQL آسيب پذيرند. شما مي توانيد با فيلتر کردن فيلدهاي ورودي در صفحات وب خود، مانع اين حملات شويد، به گونه اي که تنها مقادير مجاز اجازه ورود داشته باشند. به خاطر سير صعودي حملات تزريقيSQL، مايکروسافت توصيه هاي امنيتي مهمي را منتشر کرده است که در سايت www.microsoft.com/technet/security/advisory/954462.mspx موجود است. اين توصيه هاي امنيتي به 3 ابزار زير اشاره دارد که مي توانيد با برنامه هاي کاربردي ASP و ASP.NET خود از آن ها استفاده کنيد تا مانع از حملات SQL شويد: *HPScrawlr:اين برنامه کمکي اسکنر رايگان مي تواند مشخص کند که آيا وب سايت شما مستعد حمله تزريقي sql است يا خير. اين برنامه کاربردي به آرامي وب سايت را بررسي مي کند ، فيلدهاي ورودي هر صفحه وب را براي يافتن نقاط آسيب پذير در مقابل تزريق SQL ، تجزيه و تحليل مي نمايد(توجه داشته باشيد که اين برنامه در پارامترهاي fiash parsing JavaScript ياPOST کار نمي کند). شما مي توانيد در سايت زير اطلاعات بيشتري را در خصوص HPScrawlr بيابيد.
*microsoft source code analyzer for SQL lnjectiion : اين ابزار خط فرمان ، کد منبع ايستاي ASP شما را که در VBSCRIPT نوشته شده(نه در ASP.NET) تجزيه و تحليل مي کند و نقاط آسيب پذير احتمالي در حملات تزريقي SQL را مشخص مي نمايد. سپس اين ابزار گزارش مفصلي از نقاط آسيب پذيري که شناسايي کرده و همچنين راهکارهاي احتمالي ارائه مي دهد. Microsoft Source Code Analyzer for SQL Injectiion در سايت زير موجود است:
منبع:ماهنامه ي رايانه شماره 188
اوايا امسال ، تعداد حملات تزريقي SQL به کاربران تکنولوژي هاي مايکرو سافت، ناگهان سير صعودي يافت. تزريق SQL يک تکنيک معمولي است که از فيلدهاي ورودي فيلتر نشده در يک برنامه کاربردي وب بهره برداري مي کند. مثلاً فرض کنيد شما يک برنامه کاربردي داريد که به کاربران اجازه مي دهد تا نام و نام خانوادگي خود را در فيلدهاي جداگانه در يک صفحه وب وارد کنند. يک کاربر معمولي ممکن استSavannah , Bob يا Nguyen را در يک فيلد ورودي وارد کند. به هر حال، يک کاربر بدخواه ممکن است "ROBERTً);DROP TABLE students ;--," را وارد کند که به اين برنامه کاربردي خسارت وارد خواهد کرد. اين نوع حمله، حمله تزريقي SQL نام دارد چرا که حمله کننده يک دستور SQL را به داخل فيلد ورودي، ضميمه يا تزريق مي کند. از برنامه هاي کاربردي ASP.NET و ASP خود محافظت کنيد. حمله هاي تزريقي SQL فقط در بانک هاي اطلاعاتي SQL Server که از برنامه هاي کاربردي پيشروي ASP وASP.NET پشتيباني مي کنند، رخ نمي دهد. اين حملات مي توانند در برنامه هاي کاربردي PHP با خادم هاي MYSQL (BACK END و برنامه هاي کاربردي Java با خادم هاي Oracle هم رخ دهند. تمام پلت فرم هاي بانکي اطلاعاتي در برابر حملات تزريقي SQL آسيب پذيرند. شما مي توانيد با فيلتر کردن فيلدهاي ورودي در صفحات وب خود، مانع اين حملات شويد، به گونه اي که تنها مقادير مجاز اجازه ورود داشته باشند. به خاطر سير صعودي حملات تزريقيSQL، مايکروسافت توصيه هاي امنيتي مهمي را منتشر کرده است که در سايت www.microsoft.com/technet/security/advisory/954462.mspx موجود است. اين توصيه هاي امنيتي به 3 ابزار زير اشاره دارد که مي توانيد با برنامه هاي کاربردي ASP و ASP.NET خود از آن ها استفاده کنيد تا مانع از حملات SQL شويد: *HPScrawlr:اين برنامه کمکي اسکنر رايگان مي تواند مشخص کند که آيا وب سايت شما مستعد حمله تزريقي sql است يا خير. اين برنامه کاربردي به آرامي وب سايت را بررسي مي کند ، فيلدهاي ورودي هر صفحه وب را براي يافتن نقاط آسيب پذير در مقابل تزريق SQL ، تجزيه و تحليل مي نمايد(توجه داشته باشيد که اين برنامه در پارامترهاي fiash parsing JavaScript ياPOST کار نمي کند). شما مي توانيد در سايت زير اطلاعات بيشتري را در خصوص HPScrawlr بيابيد.
www.communities.hp.com/securi tysoftware/blogs.spilabs/archive/2008/06/23/finding-sqsl-injec tian-with-scrawlr.aspx
www.iearn.net/page.aspx/473/using-urlscan
*microsoft source code analyzer for SQL lnjectiion : اين ابزار خط فرمان ، کد منبع ايستاي ASP شما را که در VBSCRIPT نوشته شده(نه در ASP.NET) تجزيه و تحليل مي کند و نقاط آسيب پذير احتمالي در حملات تزريقي SQL را مشخص مي نمايد. سپس اين ابزار گزارش مفصلي از نقاط آسيب پذيري که شناسايي کرده و همچنين راهکارهاي احتمالي ارائه مي دهد. Microsoft Source Code Analyzer for SQL Injectiion در سايت زير موجود است:
www.microsoft.com/downloads/details.aspx?Family id=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang-en
منبع:ماهنامه ي رايانه شماره 188
