Microsoft contro le SQL Injection

Sembrano essere in costante aumento le SQL Injection, le intrusioni non autorizzate all’interno delle banche dati da parte di utenti malintenzionati interessati a sottrarre informazioni e dati dai database online. Per porre rimedio al crescente fenomeno, Microsoft ha da poco rilasciato una serie di strumenti tesi ad aumentare la sicurezza delle banche dati e a limitare il più possibile il fenomeno SQL Injection, legato generalmente a una gestione non ottimale dei sistemi.

Gli sviluppatori hanno ora la possibilità di scaricare e sperimentare l’ultima versione del tool di sicurezza UrlScan. Giunto alla sua terza versione, lo strumento è ancora in fase di beta test, ma assicura già una sufficiente stabilità. Grazie a questo piccolo applicativo, è possibile restringere sensibilmente le tipologie di richieste HTTP processate dagli Internet Information Services (ISS). Attraverso il tool di sicurezza è dunque possibile settare le regole per impedire l’esecuzione di comandi potenzialmente pericolosi sia per quanto concerne URL, stringhe di richiesta, gli header o una combinazione di più elementi. UrlScan provvede, in pratica, a bloccare alcune specifiche richieste via HTTP, aiutando a limitare sensibilmente le azioni svolte in remoto e potenzialmente pericolose per la stabilità e la sicurezza dei dei sistemi SQL.

Il secondo tool di sicurezza è stato invece concepito per verificare il livello di sicurezza del codice ASP per SQL. Source Code Analyzer for SQL Injection è uno strumento completamente autonomo e compatibile con il codice ASP. Una volta caricato e avviato, l’applicativo verifica l’integrità di ASP ricercando possibili vulnerabilità che potrebbero consentire una SQL Injection. Terminata la scansione, Source Code Analyzer fornisce un report mostrando gli eventuali problemi riscontrati nel codice, consentendo all’utente di correre ai ripari con apposite modifiche per mettere in sicurezza i sistemi.

Microsoft segnala infine HP Scrawlr, uno scanner gratuito sviluppato in collaborazione con Hewlett Packard per scoprire se il proprio sito Web sia esposto o meno agli episodi di SQL Injection. Fornendo l’URL della risorsa che si è interessati ad analizzare, lo strumento di sicurezza provvede a ricostruire una mappa del sito e a simulare possibili intrusioni verso le sezioni gestite con SQL. Al termine dell’operazione, HP Scrawlr fornisce un dettagliato report sulle pagine in cui ha riscontrato possibili porte aperte verso le pericolose pratiche di SQL Injection.

L’utilizzo integrato e in parallelo dei nuovi tool messi a disposizione da Microsoft può aiutare la messa in sicurezza dei propri database e dei sistemi basati su Microsoft ASP e ASP.NET. Gli strumenti consigliati da Redmond non escludono naturalmente la possibilità di subire attacchi, ma dovrebbero fornire ulteriori elementi per mitigarne gli effetti e la pericolosità.