Poradce pro zabezpečení

Poradce microsoftu pro zabezpečení 954462

Nárůst útoků prostřednictvím injektáže SQL zneužívající neověřený vstup uživatelských dat

Publikováno: 24. června 2008 | Aktualizováno: 25. června 2008

Společnost Microsoft si je vědoma nedávné eskalace ve třídě útoků, které cílí na weby, které používají technologie Microsoft ASP a ASP.NET, ale nedodržují osvědčené postupy pro zabezpečený vývoj webových aplikací. Tyto útoky prostřednictvím injektáže SQL nevyužívají konkrétní ohrožení zabezpečení softwaru, ale cílí na weby, které nepoužívají zabezpečené postupy kódování pro přístup k datům uloženým v relační databázi a manipulaci s nimi. Když útok prostřednictvím injektáže SQL proběhne úspěšně, může útočník ohrozit data uložená v těchto databázích a případně spustit vzdálený kód. Klienti, kteří přejdou na ohrožený server, můžou být neúmyslně přesměrováni na škodlivé weby, které můžou na klientský počítač instalovat malware.

Zmírňující faktory:

Toto ohrožení zabezpečení není možné zneužít ve webových aplikacích, které se řídí obecně uznávanými osvědčenými postupy pro zabezpečený vývoj webových aplikací ověřením vstupu uživatelských dat.

Obecné informace

Přehled

Účel rady: Pomoc správcům s identifikací a opravou zranitelného kódu ASP a ASP.NET webové aplikace, který nedodržuje osvědčené postupy pro zabezpečený vývoj webových aplikací.

Stav poradce: Poradce microsoftu pro zabezpečení a související nástroje byly vydány.

Doporučení: Zkontrolujte navrhované akce a podle potřeby nakonfigurujte. Doporučuje se také, aby správci serveru vyhodnotili efektivitu probíraných nástrojů a podle potřeby je využili.

Tento poradce popisuje následující software:

Nejčastější dotazy

Jaký je rozsah poradenství?
Toto doporučení je pomoct správcům webu při identifikaci možných problémů s kódem webové aplikace, který je náchylný k možným útokům prostřednictvím injektáže SQL, a poskytnout řešení stopgap pro zmírnění útoků prostřednictvím injektáže SQL na server, zatímco jsou aplikace opraveny.

Jedná se o ohrožení zabezpečení, které vyžaduje, aby společnost Microsoft vydala aktualizaci zabezpečení?
Ne. Jakýkoli kód webové aplikace, který postupoval obecně uznávanými osvědčenými postupy pro zabezpečení, je výrazně méně náchylný k útoku prostřednictvím injektáže SQL. I když se nejedná o ohrožení zabezpečení, toto doporučení bylo vydáno, aby správcům s ohroženými weby poskytlo další upozornění a pomoc.

Co způsobuje tuto hrozbu?
Neúspěšné ověření vstupu uživatele může útočníkovi umožnit vkládat příkazy SQL do vstupních polí, která se pak můžou provést proti zdroji dat, což vede k poškození databáze nebo spuštění kódu na serveru.

Co by mohl útočník použít k této funkci?
Útočníci mohou vytvořit automatizovaný útok, který může využít ohrožení zabezpečení injektáže SQL na webových stránkách, které nedodržují osvědčené postupy zabezpečení pro vývoj webových aplikací. Po ohrožení lokality může útočník na serveru provádět řadu škodlivých operací, jako je odstranění databáze a přesměrování klientů, kteří na tento server přejdou na škodlivé lokality, které mohou na klientský počítač nainstalovat malware.

Navrhované akce

Společnost Microsoft zjistila několik nástrojů, které pomáhají správcům. Tyto nástroje pokrývají detekci, obranu a identifikaci možného kódování, které může útočník zneužít.

• Detekce – HP Scrawlr
  Hewlett Packard vyvinul bezplatný skener, který dokáže zjistit, jestli jsou lokality náchylné k injektáži SQL. Tento nástroj a podpora pro jeho použití najdete na webu Hledání injektáže SQL pomocí Scrawlru ve službě HP Security Center.

  Podrobný popis:
  Nástroj bude nástroj pro analýzu černé skříňky (tj. nevyžaduje se žádný zdrojový kód). Uživatel zadá počáteční adresu URL a nástroj:

  • Rekurzivně procházejte adresu URL hypertextových odkazů, aby se vytvořil strom webu.
  • Otestujte všechny zjištěné odkazy pro podrobnou injektáž SQL odesláním požadavků HTTP obsahujících řetězce útoku prostřednictvím injektáže SQL v parametrech řetězce dotazu.
  • Zkontrolujte odpovědi HTTP ze serveru na chybové zprávy SQL, které by značily ohrožení zabezpečení injektáže SQL.
  • Nahlašte všechny stránky, které jsou pro uživatele ohrožené, spolu s přidruženými vstupními poli. Nástroj může například hlásit, že pole "uživatelské jméno" a "heslo" na stránce "foo.asp" jsou ohrožená.

• Defense – UrlScan verze 3.0 Beta

  UrlScan verze 3.0 Beta je nástroj zabezpečení společnosti Microsoft, který omezuje typy požadavků HTTP, které budou zpracovávat Internetová informační služba (IIS). Blokováním konkrétních požadavků HTTP pomáhá Nástroj UrlScan zabránit potenciálně škodlivým požadavkům v přístupu k webové aplikaci na serveru. Adresa UrlScan 3.0 se nainstaluje ve službě IIS 5.1 a novější, včetně služby IIS 7.0. UrlScan 3.0 najdete na adrese URLScan Tool 3.0 Beta.

  Podrobný popis:
  UrlScan verze 3.0 je nástroj, který vám umožní implementovat mnoho různých pravidel pro lepší ochranu webových aplikací na serverech před útoky prostřednictvím injektáže SQL. Patří k nim:

  • Možnost implementovat pravidla zamítnutí použitá nezávisle na adrese URL, řetězci dotazu, všech hlaviček, konkrétní hlavičce nebo jakékoli kombinaci těchto pravidel.
  • Globální oddíl DenyQueryString, který umožňuje přidat pravidla zamítnutí pro řetězce dotazu s možností kontroly neukazované verze řetězce dotazu.
  • Možnost používat řídicí sekvence v pravidlech zamítnutí k odepření CRLF a dalších netisknutelných znakových sekvencí v konfiguraci.
  • Několik instancí UrlScan lze nainstalovat jako filtry webu, z nichž každý má vlastní konfiguraci a možnosti protokolování (urlscan.ini).
  • Oznámení o změnách konfigurace (urlscan.ini) se rozšíří do pracovních procesů bez nutnosti je recyklovat. Nastavení protokolu je výjimkou.
  • Vylepšené protokolování, které poskytuje popisné chyby konfigurace.

• Identifikace – Analyzátor zdrojového kódu Microsoftu pro injektáž SQL

  Byl vyvinut nástroj pro analýzu zdrojového kódu SQL. Tento nástroj lze použít ke zjištění kódu ASP náchylných k útokům prostřednictvím injektáže SQL. Tento nástroj najdete v článku znalostní báze Microsoft Knowledge Base 954476.

  Podrobný popis:
  Analyzátor zdrojového kódu microsoftu pro injektáž SQL je samostatný nástroj, který mohou zákazníci spouštět na vlastním zdrojovém kódu ASP. Kromě samotného nástroje je k dispozici dokumentace, která obsahuje způsoby, jak vyřešit problémy, které najde v kódu, který analyzuje. Mezi klíčové funkce tohoto nástroje patří:

  • Kontroluje zdrojový kód ASP pro kód, který může vést k ohrožením zabezpečení injektáže SQL.
  • Vygeneruje výstup, který zobrazuje problém s kódováním.
  • Tento nástroj identifikuje pouze chyby zabezpečení v klasickém kódu ASP. Nefunguje na ASP.NET kódu.

• Další informace

  Microsoft má další zdroje informací, které správcům pomůžou identifikovat a opravit problémy související s tímto zneužitím.

  • Odkazy na další dokumentaci týkající se injektáže SQL a osvědčených postupů kódování:

    Ochrana před injektáží SQL Serveru

    Prevence injektáže SQL v ASP

    Postupy: Ochrana před injektáží SQL v ASP.NET

    Techniky kódování pro ochranu proti injektáži SQL v ASP.NET

    Filtrování injektáže SQL z klasického ASP

    Blog o ohrožení zabezpečení v oblasti výzkumu a obrany týkající se útoku prostřednictvím injektáže SQL

Další informace

Zákazníci v USA a Kanadě, kteří se domnívají, že tato možná chyba zabezpečení mohla ovlivnit, můžou získat technickou podporu ze služeb podpory produktů společnosti Microsoft na adrese 1-866-PCSAFETY. Za podporu, která je spojená s problémy nebo viry aktualizace zabezpečení, se neúčtují žádné poplatky. Mezinárodní zákazníci můžou získat podporu pomocí některé z metod uvedených v nápovědě a podpoře Microsoftu. Všichni zákazníci by měli použít nejnovější aktualizace zabezpečení vydané Microsoftem, aby zajistili, že jejich systémy jsou chráněny před pokusem o zneužití. Zákazníci, kteří povolili automatické Aktualizace, automaticky obdrží všechny aktualizace Windows. Další informace oaktualizacích

Zdroje:

• Svůj názor můžete poskytnout vyplněním formuláře tak, že navštívíte nápovědu a podporu Microsoftu: Kontaktujte nás.
• Zákazníci v USA a Kanadě můžou získat technickou podporu ze služeb podpory produktů Společnosti Microsoft. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
• Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
• Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.

Právní omezení:

Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.

Revize:

• 24. června 2008: Publikováno poradenství.
• 25. června 2008: Z popisu nástroje HP Scrawlr byly odebrány chybné odkazy na testování hodnot polí a souborů cookie.

Postaveno v 2014-04-18T13:49:36Z-07:00