Como sabemos, la mayoría de los ataques a ciertos sitios, ya sea solo para molestar o para obtener información clasificada,se realiza mediante la inyección de código en SQL y se pueden obtener datos si no se cuenta con una buena estructura de seguridad, pero a veces aún con seguridad si la aplicación que utilizamos no tiene sus propia seguridad, puede fallar y eso ha sido lo que ha estado pasando con el producto de Microsoft SQL y que varias compañías han estado culpando por los ataques que han recibido.
Pero se ha comprobado que estos ataques no se deben a fallas de aplicaciones como IIS 6.0, ASP, ASP.Net o tecnologías de Microsoft SQL a las cuales se les podría atribuir las vulnerabilidades, sin embargo se ha descubierto que todos los ataques son resultados de exploit de inyección SQL por lo que Microsoft ha lanzado una serie de herramientas que ayudan a proteger mejor tu sitio.
Microsoft Security Advisory 954462 .-No es un parche, si no ayuda para los desarrolladores y administradores web para prevenir los ataques por inyección de SQL.
Las siguientes son herramientas que te ayudarán a diseñar mejor tu seguridad:
- Microsoft Source Code Analyzer for SQL Injection (MSCASI): Se trata de una herramienta de análisis de código que identifica vulnerabilidades de inyección de código SQL en páginas ASP mostrando por orden las vulnerabilidades posibles.
- Scrawlr: Diseñado por Microsoft y el grupo de investigación en seguridad web de HP que simultáneamente buscan vulnerabilidades de inyección de código SQL, que tiene que ser utilizado por administradores de IT, administradores de bases de datos y desarrolladores web.
- UrlScan 3.0 Beta (x86 y x64): Esta herramienta permite el despliegue de filtros SQL que restringe las solicitudes HTTP que procese el IIS, previniendo daños potenciales de solicitudes ejecutadas en el servidor.
Al menos cuando Microsoft sabe que sus productos no son realmente buenos, ayuda en cierta parte a los desarrolladores con herramientas y consejos para la seguridad, dando un buen respiro a los desarrolladores con herramientas que mejoren el desempeño de sus aplicaciones.
Vía | arstechnica
