R: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: R: SQL injection
Mittente: Damiano Bolzoni
Data: 3 May 2004 07:11:20 -0000

Innanzitutto, la SQL Injection non dipende dalla configurazione del DBMS o
del Web Server: dipende dalle modalità di parsing dei parametri inseriti
dall'utente, che effettui prima di eseguire la query, nella quale inserisci
tali parametri. Il parsing dei parametri deve essere effettuato su lato
server (Jsp, ASP, PhP o quant'altro) ed è quindi a carico del programmatore
effettuare le dovute verifiche sul contenuto delle informazioni ricevute.
Potresti trovare difficoltà nell'implementazione delle signature, poiché si
possono presentare diverse casisitiche di stringhe di attacco (es. "WH+ERE
nome_campo = ..." è una sintassi valida).


-----Messaggio originale-----
Da: Fabrizio Ermini [mailto:fabrizio.ermini@xxxxxxxxx] 
Inviato: martedì 27 aprile 2004 10.05
A: ml@xxxxxxxxxxxxx
Cc: fabio@xxxxxxxxxxx
Oggetto: Rif: SQL injection





premesso che in azienda abbiamo 2 server per clienti di fascia bassa(un www

ed SQL server entrambi M$) come potrei prevenire la SQL injection?
Ho riscontrato che se un sito risulta vulnerabile anche utilizzando il tool

IISLockdown  comunque il sito rimarra' vulnerabile...
Premesso che non posso controllare tutte le pagine asp (se ci fosse qlc che

lo fa' sarei un uomo felice...) esiste qualche tipo di implementazione che
mi salvi da attacchi di quel tipo????

----

Sì, puoi mettere un layer di proxying tra il web server e il "resto del
mondo cattivo" con su sopra un sistema che intercetti e blocchi richieste
web "sospette" sulla base di signatures note (in genere una soluzione così
fatta viene chiamata "firewall applicativo"). Questo pero' te lo consiglio
solo se un'audit del codice del software non è fattibile per ragioni
tecniche o economiche: ovviamente è meglio avere un'applicazione sicura in
partenza piuttosto che cercare di pararsi a posteriori...

bye,
Fabrizio






________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Rif: SQL injection, Fabrizio Ermini

Data:
- precedente: R: Vulnerability Assesment, Damiano Bolzoni
- successivo: Re: GPG, walter
- indice

Argomento:
- precedente: Rif: SQL injection, Fabrizio Ermini
- successivo: R: SQL injection, Domenico Briganti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005