Microsoft biztonsági tanácsadó 954462

SQL-beszúráson alapuló támadások elterjedése nem megbízható felhasználói adatbevitel kihasználásával

Közzétéve: 2008. június 24.

A Microsoft értesült a Microsoft ASP és ASP.NET technológiát használó, de az internetes alkalmazások biztonságos fejlesztésében bevált gyakorlatokat nem követő webhelyek ellen irányuló támadások növekvő mértékéről. Ezek az SQL-beszúráson alapuló támadások nem egy adott szoftver biztonsági rését használják ki, hanem olyan webhelyeket vesznek célba, amelyek nem követik a biztonságos kódolás gyakorlatát a relációs adatbázisban tárolt adatok hozzáférése és kezelése során. Ha az SQL-beszúráson alapuló támadás sikeres, a támadó hozzáférhet az adatbázisokban tárolt adatokhoz, és esetleg távoli kódfuttatást végezhet. A feltört kiszolgálóra eljutó ügyfelek tudtukon kívül rosszindulatú webhelyekre juthatnak el, melyek rosszindulatú programokat telepíthetnek az ügyfélszámítógépre.

A hibát enyhítő tényezők:

A biztonsági rés nem használható ki olyan internetes alkalmazásoknál, melyek követik a biztonságos internetes alkalmazásfejlesztés bevett gyakorlatait a felhasználói adatbevitel hitelesítésére nézve.

Általános tudnivalók

A tanácsadó közlemény célja: Segítségnyújtás a rendszergazdáknak a biztonságos internetes alkalmazásfejlesztés bevett gyakorlatait nem követő, esetleg érintett ASP és ASP.NET alapú internetes alkalmazások azonosításában és javításában.

A tanácsadó közlemény állapota: Microsoft biztonsági közlemény kiadása a kapcsolódó eszközökkel együtt.

Javaslat: Olvassa el a javasolt műveleteket, és végezze el a megfelelő beállításokat. Ajánlott továbbá, hogy kiszolgálókezelők mérjék fel a tárgyalt eszközök hatékonyságát, és igény szerint alkalmazzák azokat.

A tanácsadó a következő szoftvereket tárgyalja:

Érintett szoftverek
Microsoft ASP és ASP.NET technológia

Mire terjed ki a tanácsadó hatása?
A tanácsadó célja, hogy segítse a webhelyek fenntartóit az alkalmazáskóddal kapcsolatos esetleges problémák észlelésében, melynek hátterében esetleg SQL-beszúráson alapuló támadás állhat. Továbbá tiltórés-megoldással megakadályozza az SQL-beszúráson alapuló támadásokat mindaddig, amíg a kiszolgálón ki nem javítják az alkalmazásokat.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?
Nem. A bevett biztonsági gyakorlatok alapján működő internetes alkalmazáskódokat jelentősen kevésbé érinti az SQL-beszúráson alapuló támadás veszélye. Noha ez nem biztonsági rés, a Microsoft tanácsadót adott ki, amely kiegészítő figyelmeztetésül szolgál és segítséget nyújt az érintett webhelyek üzemeltetőinek.

Mi okozza a fenyegetést?
A felhasználói adatok megfelelő hitelesítése hiányában a támadó SQL-parancsokat futtathat a beviteli mezőkben, ez pedig az adatforrás megtámadását és adatbázishibát, illetve a kiszolgálón történő kódfuttatást okozhat.

Mire használhatja ezt a funkciót a támadó?
A támadók automatikus támadást kezdeményezhetnek az SQL-beszúráson alapuló biztonsági rések kihasználásával olyan weboldalakon, melyek nem követik a biztonságos internetes alkalmazásfejlesztés bevett gyakorlatait. A webhely megtámadása után a támadó számos rosszindulatú műveletet hajthat végre a kiszolgálón, például törölhet egy adatbázist, vagy átirányíthatja az ügyfeleket olyan webhelyekre, amelyek rosszindulatú szoftvert telepítenek az ügyfélgépre.

A Microsoft több eszközt is javasol a rendszergazdáknak. Ide tartozik az észlelés, a védekezés és az esetlegesen a támadó által kihasználható kódolás azonosítása.

  • Észlelés – HP Scrawlr

    A Hewlett Packard ingyenes keresőprogramja kimutatja, hogy mely webhelyeken lehetséges az SQL-beszúrás. Az eszköz és a hozzá tartozó támogatási információk a HP Security Center (HP biztonsági központ) webhely Finding SQL Injection with Scrawlr (SQL-beszúrás felfedése a Scrawlr eszközzel) pontjában találhatók.

    Részletes leírás:
    Ez úgynevezett feketedobozos elemzőeszköz (vagyis nem használ fel forráskódot). A kezdő URL megadása után az eszköz:

    • Visszamenőleg feltárja az URL hiperhivatkozásait, és webhelyfát készít.
    • Űrlapmezőkben, lekérdezési karakterláncok paramétereiben és cookie-értékekben támadó SQL-beszúrási karakterláncot tartalmazó HTTP-kérések küldésével ellenőrzi az összes talált hivatkozást, nem tartalmaznak-e bővebb SQL-beszúrást.
    • Megvizsgálja a kiszolgálótól érkező HTTP-válaszokat, nem tartalmaznak-e olyan SQL-hibaüzenetet, amely az SQL-beszúráson alapuló biztonsági résre utalna.
    • Minden veszélyeztetett oldalról a megfelelő beviteli mező(ke)t is tartalmazó jelentést küld a felhasználónak. Például előfordulhat, hogy az eszköz jelentése szerint a „felhasználónév” és a „jelszó” mező a „foo.asp” oldalon veszélyeztetett.
  • Védekezés – UrlScan 3.0 béta verzió

    Az UrlScan 3.0 béta verziója a Microsoft biztonsági eszköze, mely korlátozza az Internet Information Services (IIS) szolgáltatás által feldolgozott HTTP-kérések típusait. Bizonyos HTTP-kérések letiltásával az UrlScan megakadályozza az esetleg káros kérések eljutását az internetes alkalmazásból a kiszolgálóra. Az UrlScan 3.0 alkalmazás IIS 5.1 és újabb verziókra telepíthető, beleértve az IIS 7.0 verziót. Az UrlScan 3.0 eszköz az URLScan eszköz 3.0 béta webhelyén érhető el.

    Részletes leírás:
    Az UrlScan 3.0 verziója segítségével többféle szabállyal védheti a kiszolgálóról működő internetes alkalmazásokat az SQL-beszúráson alapuló támadásoktól. A funkciók a következőket tartalmazzák:

    • Megtagadási szabályok független alkalmazásának lehetősége URL-címre, lekérdezési karakterláncra, az összes fejlécre, egy bizonyos fejlécre vagy ezek tetszőleges kombinációjára.
    • Globális DenyQueryString rész, amelynek segítségével megtagadási szabályokat adhat hozzá a lekérdezési karakterláncokhoz, a lekérdezési karakterlánc visszakonvertált verziójának ellenőrzési lehetőségével.
    • Escape-sorozatok alkalmazásának lehetősége a megtagadási szabályokban a CRLF és egyéb nem nyomtatható karaktersorozatok konfigurációban történő letiltásához.
    • Az UrlScan több példányban is telepíthető helyi szűrőként, egyenként beállítható konfigurációval és naplózással (urlscan.ini).
    • A konfiguráció (urlscan.ini) változásairól szóló értesítéseket a rendszer újrahasznosítás nélkül propagálja a munkavégző folyamatoknak. A naplózási beállítások ez alól kivételt képeznek.
    • A konfigurációs hibák részletes leírását tartalmazó, bővített naplózás.
  • Azonosítás – Microsoft Source Code Analyzer for SQL Injection

    Kifejlesztettünk egy eszközt az SQL-forráskódok elemzésére, amellyel észlelhető az SQL-beszúráson alapuló támadásra kihasználható ASP-kód. Az eszköz megtalálható a Microsoft tudásbázis 954476. sz. cikkében.

    Részletes leírás:

    A Microsoft Source Code Analyzer for SQL Injection önálló eszköz, amelyet ügyfeleink a saját ASP-forráskódjukon futtathatnak. Az eszköz mellett dokumentáció is található, amely segítséget nyújt az elemzett kódban talált problémák megoldásához. Az eszköz főbb jellemzői:

    • Megvizsgálja az ASP-forráskódot, nem tartalmaz-e SQL-beszúráson alapuló biztonsági rést eredményező kódot.
    • Megjeleníti a kódolási problémákat.
    • Az eszköz csak a klasszikus ASP-kódban található problémákat azonosítja. Az ASP.NET-kódon nem használható.
  • További információ

    Microsoft további forrásokkal segíti a rendszergazdákat a biztonsági réssel kapcsolatos problémák azonosításában és javításában.

Egyéb információ

Azok az Amerikai Egyesült Államokban és Kanadában élő felhasználók, akik úgy vélik, érinti őket ez a lehetséges biztonsági rés, a Microsoft terméktámogatási szolgáltatásától, az 1-866-PCSAFETY telefonszámon igényelhetnek műszaki támogatást. A biztonsági frissítésekkel és vírusokkal kapcsolatos hívások ingyenesek. A más országokban élő felhasználók a Microsoft Súgó és támogatás részben ismertetett módokon juthatnak támogatáshoz.

Minden felhasználó alkalmazza a Microsoft által kiadott legújabb biztonsági frissítéseket, hogy a rendszert megóvja az esetleges támadástól. Az Automatikus frissítést engedélyező felhasználók automatikusan megkapnak minden Windows frissítést. A biztonsági frissítésekről a Microsoft biztonsági honlapján találhat bővebb információt.

További tudnivalók:

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 2008. június 24.: Tanácsadó közzétéve

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: