18.09.2008, 11:42 Uhr
Tools gegen SQL-Injection
Zwei kostenlose Tools von Microsoft und eines von Hewlett-Packard sollen Betreibern von ASP-basierten Websites gegen Angriffe schützen. Vor allem das Kompromittieren von SQL-Datenbanken soll dadurch verhindert werden.
Die Angriffe auf Websites, die Microsofts ASP- und ASP.NET-Technologien verwenden, haben in der letzten Zeit dramatisch zugenommen. In einem Advisory verweist der Hersteller allerdings darauf, dass nicht etwa Schwachstellen an diesen Basistechnologien die Ursache dafür seien, sondern vielmehr das Ignorieren von Richtlinien und Best Practices bei der Programmierung der Websites.
Microsoft empfiehlt als Abhilfe drei verschiedene Tools, um Fehler in Web-Anwendungen auf Basis von ASP und ASP.NET ausfindig zu machen und zu reparieren. Zwei dieser Tools kommen aus dem eigenen Haus, eines von HP. Laut Microsoft ist das eine Reaktion auf den Wunsch vieler Kunden nach mehr Unterstützung bei der Abwehr von Angriffen auf ihre Websites.
Beim ersten Tool handelt es sich um "URLScan", das nun in der Version 3.0 vorliegt. Es kommt direkt aus Microsofts Internet Information Services Division (IIS). URLScan soll einen Internet-Server vor verdächtigen HTML-Anfragen schützen, indem es potenziell schädliche Requests abblockt. Das Tool könne alle bisher bekannten Angriffsvarianten herausfiltern, heißt es vom Konzern. Allerdings handelt es sich bei URLScan 3.0 laut Microsoft eher um eine Lösung, die Entwickler auf Schwachstellen in ihrem Code in ihrer Website aufmerksam machen soll und der hinterher auch repariert gehört, als um eine vollwertige Security-Lösung.
Das zweite Werkzeug, "SQL Source Code Analysis Tool", ist unter Mitwirkung der SQL-Entwickler in Redmond zustande gekommen. Es analysiert ASP-Programme und versucht Code-Passagen zu identifizieren, die anfällig für SQL-Injection-Angriffe erscheinen. Die Evaluierung der Ergebnisse und etwaige Korrekturen müssen von den Entwicklern selbst vorgenommen werden. Das Tool unterstützt allerdings (noch) nicht Microsofts Web-Application-Framework ASP.NET.
Das zweite Werkzeug, "SQL Source Code Analysis Tool", ist unter Mitwirkung der SQL-Entwickler in Redmond zustande gekommen. Es analysiert ASP-Programme und versucht Code-Passagen zu identifizieren, die anfällig für SQL-Injection-Angriffe erscheinen. Die Evaluierung der Ergebnisse und etwaige Korrekturen müssen von den Entwicklern selbst vorgenommen werden. Das Tool unterstützt allerdings (noch) nicht Microsofts Web-Application-Framework ASP.NET.
HPs Scrawlr schaut auf Dateiformate
Auch das Web-Security-Team von HP ist in Sachen SQL-Injection-Abwehr aktiv geworden: Drittes Werkzeug im Bunde ist der Scanner "HP Scrawlr". Wie so genannte Fuzzer, mit denen Sicherheitsforscher nach potenziellen Schwachstellen etwa in Dateiformaten stöbern, untersucht der Scanner Websites auf Anfälligkeiten für SQL-Injection-Attacken und meldet dem Nutzer eventuelle Positivbefunde.
Gartner-Analyst John Prescatore rät Anwendern indes, die aktuellen Bemühungen Microsofts nicht etwa mit aufkeimendem Altruismus zu verwechseln. "Machen wir uns nichts vor: Wenn sich diese Attacken beispielsweise nur gegen MySQL richteten, würde hier nichts passieren." Vielmehr reagiere der Softwarekonzern damit auf die deutliche Zunahme von Angriffen, die sich gezielt gegen ASP.NET-Code richteten. "In Gang gesetzt wurde dieser Angriffstrend, als Firmen begannen, sich für Web 2.0 zu interessieren, sprich: damit, dass Unternehmen entschieden, Dinge wie Social Networking und Blogs haben zu müssen", meint Prescatore. Viele dieser Funktionen seien dann einfach hinzugefügt worden, ohne zuvor die gängigen Sicherheitschecks durchlaufen zu haben. "So eine Flickschusterei führt zu einem Disziplinverlust."
