Rif: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Rif: SQL injection
Mittente: Fabrizio Ermini
Data: 1 May 2004 17:54:44 -0000




premesso che in azienda abbiamo 2 server per clienti di fascia bassa(un www

ed SQL server entrambi M$) come potrei prevenire la SQL injection?
Ho riscontrato che se un sito risulta vulnerabile anche utilizzando il tool

IISLockdown  comunque il sito rimarra' vulnerabile...
Premesso che non posso controllare tutte le pagine asp (se ci fosse qlc che

lo fa' sarei un uomo felice...) esiste qualche tipo di implementazione che
mi salvi da attacchi di quel tipo????

----

Sì, puoi mettere un layer di proxying tra il web server e il "resto del
mondo cattivo" con su sopra un sistema che intercetti e blocchi richieste
web "sospette" sulla base di signatures note (in genere una soluzione così
fatta viene chiamata "firewall applicativo"). Questo pero' te lo consiglio
solo se un'audit del codice del software non è fattibile per ragioni
tecniche o economiche: ovviamente è meglio avere un'applicazione sicura in
partenza piuttosto che cercare di pararsi a posteriori...

bye,
Fabrizio






________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: SQL injection, Domenico Briganti
- R: SQL injection, Damiano Bolzoni

Data:
- precedente: RE: DPSS: esempi e Assistenza, Max .
- successivo: Exchange,TrendMicro Viruswall, Checkpoint, Piero Wednstay
- indice

Argomento:
- precedente: R: DPSS: esempi e Assistenza, Giuseppe Simone Aielli
- successivo: R: SQL injection, Damiano Bolzoni
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005