Als Reaktion auf die drastische Zunahme von SQL-Injection-Attacken auf Web-Seiten, die die Microsoft-Techniken ASP und ASP.NET einsetzen, hat der Softwarekonzern ein Security-Advisory zum Thema herauszugeben. Für diese Angriffe sei jedoch nicht etwa eine spezifische Softwareschwachstelle verantwortlich, vielmehr zielten die Attacken auf Sites ab, bei denen die gängigen Best-Practices zur Entwicklung sicherer Web-Applikationen vernachlässigt wurden, statuiert Microsoft.
Drei in dem Advisory vorgestellte, sich ergänzende Utilities - zwei aus dem Hause Microsoft und eines von HP - sollen Administratoren nun helfen, Code-Fehler in ASP- und ASP.NET-basierenden Web-Applikationen zu identifizieren und zu korrigieren. Laut Mark Miller, Microsofts Director Trustworthy Computing Product Management, hatten die Kunden der Redmonder mehr Unterstützung bei der Angriffsabwehr gefordert. "Mit Tools und Beratung wollen wir Anwender dazu befähigen, mit diesen Attacken fertig zu werden."
Aufspüren, abwehren, identifizieren
Zu den Tools gehört "URLScan 3.0", das derzeit noch in der Betaversion vorliegt und aus der IIS-Abteilung (Internet Information Services) des Softwarekonzerns stammt. Nach Informationen von Wade Hilmo, einem Entwicklungsleiter der Gruppe, handelt es sich dabei um das erste Upgrade des bestehenden gleichnamigen IIS-Filter-Werkzeugs seit 2003. URLScan soll nun bestimmte HTML-Anfragen blocken, um zu verhindern, das potenziell schädliche Requests die Web-Anwendung auf dem Server erreichen. Nichtsdestotrotz, mahnt Hilmo, sei das Tool lediglich als Überbrückungslösung zu verstehen, die die Site schützt, während Entwickler die ausgenützten Schwachstellen im Code korrigieren. Dabei soll das Utility mit einem Großteil der Attacken fertig werden. "URLScan kann alle bisher bekannten Angriffsvarianten, die wir in diesem Jahr beobachtet haben, herausfiltern", so der IIS-Entwickler.
Das zweite Microsoft-Werkzeug nennt sich "SQL Source Code Analysis Tool" und ist unter Mitwirkung von Microsofts SQL-Server-Team entstanden. Es analysiert ASP-Code (unterstützt allerdings nicht Microsofts Web-Application-Framework ASP.NET) und durchforstet ihn nach für SQL-Injection-Angriffe anfälligen Bits. Eventuelle Korrekturen müssten allerdings nach wie vor manuell von den Entwicklern vorgenommen werden, erklärt Bala Neerumalla, Software Security Developer in Microsofts SQL-Team.
Auch das Web-Security-Team von HP ist in Sachen SQL-Injection-Abwehr aktiv geworden: Drittes Werkzeug im Bunde ist der Scanner "HP Scrawlr". Wie so genannte Fuzzer, mit denen Sicherheitsforscher nach potenziellen Schwachstellen etwa in Dateiformaten stöbern, untersucht der Scanner Websites auf Anfälligkeiten für SQL-Injection-Attacken und meldet dem Nutzer eventuelle Positivbefunde.