SQL-Injection-Attacken auf Web-Seiten, die ASP und ASP.NET einsetzen, nehmen drastisch zu. Als Reaktion darauf hat Microsoft nun ein Security-Advisory zum Thema herausgegeben. Für die Angriffe sei nicht etwa eine spezifische Softwareschwachstelle verantwortlich, vielmehr zielten die Attacken auf Sites ab, bei denen die gängigen Best Practices zur Entwicklung sicherer Web-Applikationen vernachlässigt wurden, betont der Softwarekonzern.
Drei in dem Advisory vorgestellte, sich ergänzende Utilities - zwei aus dem Hause Microsoft und eines von HP - sollen Web-Entwicklern und Administratoren helfen, Codefehler in ASP- und ASP.NET-basierenden Web-Applikationen zu identifizieren und zu korrigieren. Laut Mark Miller, Microsofts Director Trustworthy Computing Product Management, hatten die Kunden der Redmonder mehr Unterstützung bei der Angriffsabwehr gefordert.
Aufspüren und abwehren
Zu den Tools gehört "URLScan 3.0", das (in der Betaversion) vorliegt und aus der IIS-Abteilung (Internet Information Services) des Softwarekonzerns stammt. Nach Hestellerangaben handelt es sich dabei um das erste Upgrade des bestehenden gleichnamigen IIS-Filter-Werkzeugs seit 2003. URLScan soll bestimmte HTML-Anfragen blocken, um potenziell schädliche Requests von Web-Anwendungen fernzuhalten.
Das Tool sei lediglich als Überbrückungslösung zu verstehen, die eine Site schützt, während Entwickler die ausgenützten Schwachstellen im Code korrigieren. Dabei soll das Utility mit einem Großteil der Attacken fertig werden. "URLScan kann alle bisher bekannten Angriffsvarianten, die wir in diesem Jahr beobachtet haben, herausfiltern", so ein IIS-Entwickler.
ASP-Code inspizieren
Das zweite Werkzeug der Redmonder nennt sich "SQL Source Code Analysis Tool" und ist unter Mitwirkung von Microsofts SQL-Server-Team entstanden. Es analysiert ASP-Code (unterstützt allerdings nicht Microsofts Web-Application-Framework ASP.NET) und durchforstet ihn nach für SQL-Injection-Angriffe anfälligen Bits. Eventuelle Korrekturen müssten die Entwickler allerdings nach wie vor manuell vornehmen, erklärt ein Mitglied des SQL-Teams.
Auch das Web-Security-Team von HP ist in Sachen SQL-Injection-Abwehr aktiv geworden: Drittes Werkzeug im Bunde ist der Scanner "HP Scrawlr". Wie so genannte Fuzzer, mit denen Sicherheitsforscher nach potenziellen Schwachstellen etwa in Dateiformaten stöbern, untersucht der Scanner Websites auf Anfälligkeiten für SQL-Injection-Attacken und meldet dem Nutzer eventuelle Positivbefunde.
Gartner-Analyst John Pescatore warnt Anwender indes davor, die aktuellen Bemühungen Microsofts mit aufkeimendem Altruismus zu verwechseln. Vielmehr reagiere der Softwarekonzern damit auf die deutliche Zunahme von Angriffen, die sich gezielt gegen ASP.NET-Code richteten. "In Gang gesetzt wurde dieser Angriffstrend, als Firmen begannen, sich für Web 2.0 zu interessieren, sprich: damit, dass Unternehmen entschieden, Dinge wie Social Networking und Blogs haben zu müssen", meint Pescatore. Viele dieser Funktionen seien dann einfach hinzugefügt worden, ohne zuvor die gängigen Sicherheitschecks durchlaufen zu haben. "So eine Flickschusterei führt zu einem Disziplinverlust." (kf)