• Artikel

Beveiligingsadvies

Microsoft Security Advisory 954462

Toename van SQL-injectieaanvallen die gebruikmaken van niet-geverifieerde invoer van gebruikersgegevens

Gepubliceerd: 24 juni 2008 | Bijgewerkt: 25 juni 2008

Microsoft is op de hoogte van een recente escalatie in een klasse aanvallen die gericht zijn op websites die gebruikmaken van Microsoft ASP- en ASP.NET-technologieën, maar volg geen aanbevolen procedures voor het ontwikkelen van beveiligde webtoepassingen. Deze SQL-injectieaanvallen misbruiken geen specifiek beveiligingsprobleem in software, maar richten zich in plaats daarvan op websites die geen veilige coderingsprocedures volgen voor het openen en bewerken van gegevens die zijn opgeslagen in een relationele database. Wanneer een SQL-injectieaanval slaagt, kan een aanvaller inbreuk maken op gegevens die zijn opgeslagen in deze databases en mogelijk externe code uitvoeren. Clients die naar een geïnfecteerde server bladeren, kunnen onbewust worden doorgestuurd naar schadelijke sites die malware op de clientcomputer kunnen installeren.

Beperkende factoren:

Dit beveiligingsprobleem kan niet worden misbruikt in webtoepassingen die voldoen aan de algemeen geaccepteerde aanbevolen procedures voor het ontwikkelen van webtoepassingen door gebruikersgegevensinvoer te verifiëren.

Algemene gegevens

Overzicht

Doel van advies: beheerders helpen bij het identificeren en corrigeren van kwetsbare ASP- en ASP.NET-webtoepassingscode die niet voldoet aan aanbevolen procedures voor het ontwikkelen van beveiligde webtoepassingen.

Adviesstatus: Microsoft Security Advisory en bijbehorende hulpprogramma's zijn uitgebracht.

Aanbeveling: Bekijk de voorgestelde acties en configureer indien van toepassing. Het wordt ook aanbevolen dat serverbeheerders de effectiviteit van de besproken hulpprogramma's evalueren en ze indien nodig gebruiken.

In dit advies worden de volgende software besproken:

Verwante software
Microsoft ASP- en ASP.NET-technologieën

Veelgestelde vragen

Wat is het bereik van het advies?
Dit advies is bedoeld om beheerders van websites te helpen bij het identificeren van mogelijke problemen met hun webtoepassingscode die vatbaar zijn voor mogelijke SQL-injectieaanvallen en om een stopgapoplossing te bieden om SQL-injectieaanvallen tegen de server te beperken terwijl de toepassingen worden opgelost.

Is dit een beveiligingsprobleem waarvoor Microsoft een beveiligingsupdate moet uitgeven?
Nee Alle webtoepassingscode die algemeen geaccepteerde aanbevolen procedures voor beveiliging heeft gevolgd, is aanzienlijk minder gevoelig voor de SQL-injectieaanval. Hoewel dit geen beveiligingsprobleem is, is dit advies uitgegeven om beheerders met kwetsbare sites extra waarschuwingen en hulp te bieden.

Wat veroorzaakt deze bedreiging?
Als gebruikersinvoer niet goed kan worden gevalideerd, kan een aanvaller SQL-opdrachten injecteren in invoervelden, die vervolgens kunnen worden uitgevoerd op basis van een gegevensbron die leidt tot beschadiging van de database of het uitvoeren van code op de server.

Wat kan een aanvaller doen met deze functie?
Aanvallers kunnen een geautomatiseerde aanval maken die kan profiteren van beveiligingsproblemen met SQL-injectie op webpagina's die niet voldoen aan aanbevolen beveiligingsprocedures voor het ontwikkelen van webtoepassingen. Na het in gevaar brengen van de site kan een aanvaller talloze schadelijke bewerkingen uitvoeren op de server, zoals het verwijderen van een database en het omleiden van clients die naar deze server bladeren naar schadelijke sites die malware op de clientcomputer kunnen installeren.

Voorgestelde acties

Microsoft heeft verschillende hulpprogramma's geïdentificeerd om beheerders te helpen. Deze hulpprogramma's hebben betrekking op detectie, verdediging en identificatie van mogelijke coderingen die kunnen worden misbruikt door een aanvaller.

  • Detectie - HP Scrawlr
    Hewlett Packard heeft een gratis scanner ontwikkeld die kan bepalen of sites vatbaar zijn voor SQL-injectie. Dit hulpprogramma en de ondersteuning voor het gebruik ervan vindt u in Het vinden van SQL-injectie met Scrawlr in het HP Security Center.

    Gedetailleerde beschrijving:
    Het hulpprogramma is een black-box analysis tool (dus geen broncode vereist). De gebruiker voert een start-URL in en het hulpprogramma doet het volgende:

    • Verken recursief die URL voor hyperlinks om een sitestructuur op te bouwen.
    • Test alle gedetecteerde koppelingen voor uitgebreide SQL-injectie door HTTP-aanvragen met SQL-injectie-aanvalstekenreeksen te verzenden in queryreeksparameters.
    • Bekijk de HTTP-antwoorden van de server voor SQL-foutberichten die duiden op een beveiligingsprobleem met SQL-injectie.
    • Rapporteer alle pagina's die kwetsbaar zijn voor de gebruiker, samen met de bijbehorende invoervelden. Het hulpprogramma kan bijvoorbeeld melden dat de velden 'gebruikersnaam' en 'wachtwoord' op pagina 'foo.asp' kwetsbaar zijn.

  • Defense - UrlScan versie 3.0 Beta

    UrlScan versie 3.0 Beta is een Microsoft-beveiligingshulpprogramma dat de typen HTTP-aanvragen beperkt die IIS (Internet Information Services) verwerkt. Door specifieke HTTP-aanvragen te blokkeren, helpt UrlScan voorkomen dat mogelijk schadelijke aanvragen de webtoepassing op de server bereiken. UrlScan 3.0 wordt geïnstalleerd op IIS 5.1 en hoger, inclusief IIS 7.0. UrlScan 3.0 vindt u in URLScan Tool 3.0 Beta.

    Gedetailleerde beschrijving:
    UrlScan versie 3.0 is een hulpprogramma waarmee u veel verschillende regels kunt implementeren om webtoepassingen op servers beter te beveiligen tegen SQL-injectieaanvallen. Deze functies zijn onder andere:

    • De mogelijkheid om regels voor weigeren onafhankelijk te implementeren op een URL, querytekenreeks, alle headers, een bepaalde header of een combinatie hiervan.
    • Een globale sectie DenyQueryString waarmee u regels voor weigeren voor queryreeksen kunt toevoegen, met de optie om ook de niet-escape-versie van de queryreeks te controleren.
    • De mogelijkheid om escapereeksen te gebruiken in de regels voor weigeren om CRLF en andere niet-afdrukbare tekenreeksen in de configuratie te weigeren.
    • Meerdere UrlScan-exemplaren kunnen worden geïnstalleerd als sitefilters, elk met een eigen configuratie- en logboekregistratieopties (urlscan.ini).
    • Wijzigingenmeldingen voor configuratie (urlscan.ini) worden doorgegeven aan werkprocessen zonder ze te hoeven recyclen. Logboekinstellingen zijn een uitzondering hierop.
    • Verbeterde logboekregistratie om beschrijvende configuratiefouten te geven.

  • Identificeren - Microsoft Source Code Analyzer voor SQL-injectie

    Er is een SQL-hulpprogramma voor broncodeanalyse ontwikkeld. Dit hulpprogramma kan worden gebruikt om ASP-code te detecteren die gevoelig is voor SQL-injectieaanvallen. Dit hulpprogramma vindt u in het Microsoft Knowledge Base-artikel 954476.

    Gedetailleerde beschrijving:
    Microsoft Source Code Analyzer voor SQL-injectie is een zelfstandig hulpprogramma dat klanten kunnen uitvoeren op hun eigen ASP-broncode. Naast het hulpprogramma zelf is er documentatie opgenomen over manieren om de problemen op te lossen die worden gevonden in de code die wordt geanalyseerd. Enkele belangrijke functies van dit hulpprogramma zijn:

    • Scant ASP-broncode op code die kan leiden tot beveiligingsproblemen met SQL-injectie.
    • Hiermee wordt een uitvoer gegenereerd die het coderingsprobleem weergeeft.
    • Dit hulpprogramma identificeert alleen beveiligingsproblemen in klassieke ASP-code. Het werkt niet aan ASP.NET code.

  • Aanvullende informatie

    Microsoft heeft aanvullende bronnen om beheerders te helpen bij het identificeren en corrigeren van problemen met deze exploit.

Overige informatie

Klanten in de Verenigde Staten en Canada die geloven dat ze mogelijk zijn getroffen door dit mogelijke beveiligingsprobleem, kunnen technische ondersteuning ontvangen van Microsoft Product Support Services op 1-866-PCSAFETY. Er worden geen kosten in rekening gebracht voor ondersteuning die is gekoppeld aan problemen met beveiligingsupdates of virussen. Internationale klanten kunnen ondersteuning ontvangen met behulp van een van de methoden die worden vermeld in Microsoft Help en ondersteuning. Alle klanten moeten de meest recente beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun systemen worden beschermd tegen misbruik. Klanten die automatische updates hebben ingeschakeld, ontvangen automatisch alle Windows-updates. Ga naar Microsoft Security Central voor meer informatie over beveiligingsupdates.

Bronnen:

Disclaimer:

De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.

Revisies:

  • 24 juni 2008: Advies gepubliceerd.
  • 25 juni 2008: Onjuiste verwijzingen naar formulierveld- en cookiewaardetests verwijderd uit de beschrijving van het hulpprogramma HP Scrawlr.

Gebouwd op 2014-04-18T13:49:36Z-07:00