Microsoft dichiara guerra ai SQL injection

In risposta all'ondata di attacchi SQL injection registrata negli scorsi mesi, Microsoft ha pubblicato tre nuovi tool di sicurezza pensati per aiutare amministratori e sviluppatori ASP a prevenire nuovi attacchi

Redmond (USA) – Martedì Microsoft ha pubblicato un advisory di sicurezza in relazione alla recente ondata di attacchi di tipo SQL injection che hanno interessato migliaia di server in tutto il mondo. A dispetto dei tipici advisory di BigM, questo non descrive una o più vulnerabilità, ma illustra le caratteristiche di tre nuovi tool di sicurezza pensati per gli amministratori di sistema e gli sviluppatori ASP.

I programmi promossi da Microsoft, tutti scaricabili e utilizzabili gratuitamente, consistono nell’ HP Scrawlr , sviluppato da HP e pensato per aiutare gli amministratori a identificare i siti suscettibili di SQL injection; nell’ UrlScan 3.0 Beta , utilizzabile per restringere il tipo di richieste HTTP elaborate da un server Internet Information Services; e nel Microsoft Source Code Analyzer for SQL Injection , che aiuta invece gli sviluppatori a identificare le porzioni di codice ASP che potrebbero esporre il fianco ad attacchi SQL injection.

Ciascuno dei tre tool fa parte di una strategia di prevenzione divisa in tre fasi : la scansione dei server alla ricerca dei siti vulnerabili (detection); il filtraggio delle richieste HTTP potenzialmente pericolose (defense); e l’analisi del codice alla ricerca delle tipiche debolezze sfruttate dai cracker per gli attacchi SQL injection (identifying). BigM suggerisce inoltre di seguire le linee guide esposte in questo precedente advisory.

“Gli attacchi SQL injection registrati di recente non sfruttano una particolare vulnerabilità del software, ma prendono invece a bersaglio i siti Web che non seguono la prassi più corretta per rendere sicuro l’accesso e la manipolazione dei dati archiviati in un database relazionale”, si legge nell’advisory di Microsoft. “Quando un attacco SQL injection ha successo, un aggressore può compromettere i dati archiviati in questi database ed eventualmente eseguire del codice a distanza. I client che navigano su di un server compromesso possono essere dirottati a loro insaputa verso siti maligni, siti che generalmente tentano di installare malware sul client”.

Lo scorso aprile alcuni aggressori hanno sfruttato la tecnica dell’SQL injection per inoculare un JavaScript maligno in centinaia di migliaia di siti che facevano uso di ASP e di SQL Server. Il JavaScript dirottava gli utenti verso un server contenente vari tipi di malware capaci, a loro volta, di sfruttare delle vulnerabilità di Windows per installare sui client trojan, worm, bot e backdoor.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • genny scrive:
    i luoghi in video
    su www.videomap.it si puo invece ricostruire il mondo con i video
  • babelzeta scrive:
    OSM
    io collaboro da tempo a openstreetmap... non capisco perdere impiegare il mio tempo per aiutare google o la navteq o teleatlas a migliorare le loro mappe che poi ci rivendono a caro prezzo, preferisco lavorare per progetti liberi.
  • chojin scrive:
    Come dire:schiavi lavorate.Guadagni loro
    Ehh! Tutti questi servizi "sociali, socievoli, buoni e solidali" ..tutti tanto "altruisti" ... la gente fa il lavoro e loro lucrano come dannati sulle informazioni. Informazione è potere ed è fonte di guadagno. Produrre informazione gratis così assicura una speculazione senza precedenti.
    • ndr scrive:
      Re: Come dire:schiavi lavorate.Guadagni loro
      1 - nessuno ti obbliga a editare le loro mappe.2 - guadagnano con la loro attività, mi sembra normale e giusto. 3 - la gente usa aggratis il motore di ricerca e le mappe, senza obblighi, canoni o cose del genere. Non ci vedo niente di terribile.
      • sqolom scrive:
        Re: Come dire:schiavi lavorate.Guadagni loro
        - Scritto da: ndr
        1 - nessuno ti obbliga a editare le loro mappe.
        2 - guadagnano con la loro attività, mi sembra
        normale e giusto.

        3 - la gente usa aggratis il motore di ricerca e
        le mappe, senza obblighi, canoni o cose del
        genere. Non ci vedo niente di
        terribile.secondo il tuo ragionamento, tutti potremmo anche lavorare gratis per mediaset, visto che canale 5 è gratisio invece dico che la gente, la massa... è nata per essere schiava inconsapevole e contenta
  • Test scrive:
    Nabaztag
    Non proprio in topic ma....mappa open dei Nabaztag in Italiahttp://tinyurl.com/5hu242 :D
  • Jack scrive:
    Ho segnalato un errore ma ....
    Ho segnalato qualche mese fa un errore su Google Maps, una frazione del mio paese è posta in un luogo completamente errato.Non mi hanno cagato.
    • marco scrive:
      Re: Ho segnalato un errore ma ....
      Io segnalai un errore direttamente a teleatlas, dalla quale erano presi i dati sia del mio navigatore che di google maps. Dopo 6 mesi l'errore è stato corretto e su google maps è visibile la correzione, ma ovviamente io sul mio nav continuo ad avere l'errore. Non ho ricevuto nemmeno una mail di ringraziamento per la segnalazione. Avrei almeno una decina di altri grossi errori da segnalare nella città in cui vivo, ma non lo farò. Loro guadagnano per fare questo lavoro, che si diano da fare allora. Se non c'è nessun incentivo a far collaborare i clienti non vedo perché questi debbano fare una parte del loro lavoro (anche se molto piccola).Invece trovo una buona cosa collaborare con un progetto come OpenStreetMap invece dell'equivalente di Google. Il motivo è che i dati di OpenStreetMap possono essere usati anche da google (e da chiunque altro, anche per fini commerciali), mentre le modifiche che io faccio sulle mappe di google sono di loro proprietà e non le può usare nessun'altro, nemmeno io che le ho fatte, se non dentro le restrizioni della loro licenza.
  • stocriil scrive:
    openstreetmap: progetto libero
    OpenStreetMap e' una mappa liberamente modificabile di tutto il mondo.Tutti posso posso usare, modificare, i dati cosi' creati in maniera collaborativa.Insomma e' la wikipedia delle mappe.http://www.openstreetmap.orgQuindi invece di regalare il nostro lavoro a google io mi punterei su questo progetto anche se giovane e con una lunga strada davanti a se.
  • Linuz scrive:
    Invece di regalare il vostro lavoro a G.
    Stimo molto Google, ma non così tanto lavorare gratis per loro, molto meglio collaborare con Open Street Map ( http://www.openstreetmap.org/ ) per creare mappe fruibili da chiunque (licenza CC-by-sa). Anche da Google se lo desidera, ma dovrà poi a sua volta condividere le migliorie con la stessa licenza.
    • L F scrive:
      Re: Invece di regalare il vostro lavoro a G.
      Io non la trovo proprio una brutta idea, in fin dei conti non non sono male i servizi messi a disposizione gratuitamente da google.Ciao,Lucio
      • Paolopi scrive:
        Re: Invece di regalare il vostro lavoro a G.
        Ciao L F
        Io non la trovo proprio una brutta idea, in fin
        dei conti non non sono male i servizi messi a
        disposizione gratuitamente da
        google.l'idea di poter collaborare alla miglioramento di una mappa gratuitamente accessibile (ma non gratuitamente utilizzabile, leggi bene qui: http://maps.google.it/help/terms_maps.html" La copia e la divulgazione non autorizzate di tale materiale è soggetta a eventuali sanzioni.") è ovviamente una bella idea, messa in pratica e migliorata dal progetto OpenStreetMap ( http://www.openstreetmap.org/http://wiki.openstreetmap.org/index.php/WikiProject_Italyhttp://wiki.openstreetmap.org/index.php/FAQ#Why_don.27t_you_just_use_Google_Maps.2Fwhoever_for_your_data.3F ).Non confondere gratuito con libero.Leggi le condizioni d'uso, e cerca di capire a chi stai dando i tuoi dati, a chi stai cedendo l'uso dei dati raccolti da te, e come potranno poi essere utilizzati.I dati che tu fornirai a google, non potranno piu' essere utilizzati liberamente neanche da te (che glieli hai forniti).Quindi è molto meglio partecipare ad un progetto che mantiene i dati liberi, piuttosto che ad uno che li chiude.Non trovi?ciaoPaoloPì
        • L F scrive:
          Re: Invece di regalare il vostro lavoro a G.
          Vista in questi termini hai ragione.L.
        • tmx scrive:
          Re: Invece di regalare il vostro lavoro a G.
          straquoto.in fin dei conti (e semplificando) lavori per G., non vedi un quattrino (e G. direi di sì invece) e non hai *di fatto* alcun diritto su quello che crei (G. ne ha il copyright)...hai la soddisfazione personale e di aver aiutato altri come te... ma anche se offrono un ottimo servizio, è un pò sbilanciato come rapporto, e mi auguro non duri in eterno in questi termini.oltretutto il contributo di una persona è minimo, ma quello di milioni di persone si tramuta in miliardi di $...è una questione attualissima, quella dell'user generated content... sarà davvero interessante seguirne gli sviluppi
      • marco scrive:
        Re: Invece di regalare il vostro lavoro a G.
        Non è una brutta idea ma è molto meglio fare in modo che delle tue modifiche possano beneficiare anche altri e non solo google che si prenderebbe la proprietà del tuo lavoro.Con OpenStreetMap questo è possibile.
        • Joliet Jake scrive:
          Re: Invece di regalare il vostro lavoro a G.
          Mi sembra un concetto molto simile a Wikipedia.Se è collaborativo, tutti devono poterne usufruire...
          • ndr scrive:
            Re: Invece di regalare il vostro lavoro a G.
            E come wikipedia di certo non sarà un gran che attendibile...spetta che vado a indicare "locale di lap dance gratuito" all'indirizzo del mio ex prof di matematica...Se qualcuno obietta che controlleranno le aggiunte degli utenti io rispondo che a quel punto stanno di meno a farsi le mappe da soli...
          • Skywalker scrive:
            Re: Invece di regalare il vostro lavoro a G.
            - Scritto da: ndr
            E come wikipedia di certo non sarà un gran che
            attendibile...spetta che vado a indicare "locale
            di lap dance gratuito" all'indirizzo del mio ex
            prof di
            matematica...Questo puoi farlo anche con Google Maps. Prendi un po' di spazio web gratuito, ci metti "Locale di Lap Dance Gratuito" e sotto l'indirizzo del tuo prof di matematica.Poi li linki tra di loro e lasci che gli spider di google facciano il loro lavoro. Poi cerca "Lap Dance" e quella via, e anche google maps ti propone il bel segnalino sulla casa del tuo prof.Google è un indicizzatore: se gli dai fuffa, lui indicizza fuffa. Punto.Diverso è se rinomini Viale Ceccarini, Rimini in Via Le Mani dal Culo, Rimini. Su Google Italia non lo puoi fare, su OpenStreetMap si, ma il primo che fa una ricerca su Rimini, corregge subito il tuo vandalismo.Vandalismo che puoi fare anche su Google Maps Maker, la dove Google te lo lascia usare.
            Se qualcuno obietta che controlleranno le
            aggiunte degli utenti io rispondo che a quel
            punto stanno di meno a farsi le mappe da
            soli...Controllerà, chi? Anche le mappe di Google modificate con Google Maps Maker non vengono riviste dai tecnici di Google, perché se avessero tempo e know-how le farebbero direttamente loro.Anche Google si affida allo stesso meccanismo di OpenStreetMap: il "testing" fatto da chi successivamente usa la mappa.Google Maps al momento è più affidabile di Openstreetmap semplicemente perché lo usa più gente. Non perché ha degli editori.
          • anonymous scrive:
            Re: Invece di regalare il vostro lavoro a G.
            No, Google Maps al momento e` piu` completo di openstreetmap perche' usa per gran parte del mondo mappe dei piu` grandi produttori di mappe; non so quanti stiano usando Google Maps Maker, visto che e` abbastanza nuovo.Notare che ho detto completo: le (poche, soprattutto in italia) aree complete di openstreetmap sono al momento piu` affidabili delle aree equivalenti di google maps, per vari motivi.* sono fatte percorrendo fisicamente le strade (e non da foto da satellite) e quindi presentano solo strade effettivamente percorribili; ad esempio google mostra come strade molti viali di ville.* le mappe di openstreetmap non comprendono gli easter egg che invece praticamente tutte le mappe commerciali hanno per proteggere il loro copyright http://wiki.openstreetmap.org/index.php/Copyright_Easter_Eggs
          • Lino scrive:
            Re: Invece di regalare il vostro lavoro a G.
            - Scritto da: anonymous
            No, Google Maps al momento e` piu` completo di
            openstreetmap perche' usa per gran parte del
            mondo mappe dei piu` grandi produttori di mappe;Non c'è dubbio, si parlava soltanto della parte contribuita dagli utenti, infatti.
Chiudi i commenti