quantriWEB.com | VietNam News Daily For Webmaster - "Thuốc" chống SQL Injection của Microsoft và HP

HP và Microsoft đã phối hợp nhau để trợ giúp những lập trình viên phát triển web chống lại những đợt tấn công của hacker qua công cụ dò tìm lỗi trong các website, và bằng phương thức khai thác SQL Injection.

Động thái này cho thấy các hãng sản xuất phần cứng lẫn phần mềm đều rất quan tâm tới vấn đề bảo mật, đặc biệt là sự gia tăng đáng kể những cuộc tấn công vào các website nổi tiếng trong sáu tháng đầu năm 2008. Hầu hết các cuộc tấn công đều sử dụng phương thức SQL Injection. Theo số liệu ước tính của hãng bảo mật Phần Lan F-Secure thì số trang web bị hack từ phương thức khai thác lỗi SQL Injection trong năm nay là 2-3 triệu. Một con số đáng lo ngại về tình hình bảo mật website.
Một trong hai công cụ được phát hành từ Microsoft sẽ bổ trợ cho phần mềm máy chủ web IIS (Internet Information Services) mang tên UrlScan. Thực chất, đây là một công cụ được cập nhật mới cho các phiên bản trước đó. UrlScan có thể quét các chuỗi truy vấn không chỉ là một URL như trước mà còn lọc các truy vấn "độc hại" nhằm khai thác tấn công SQL Injection. Tuy vậy, UrlScan chỉ là công cụ

Phiên bản UrlScan 1.0 đầu tiên được phát hành vào tháng 9-2001 như là bước khởi đầu của Microsoft trong việc phòng thủ trước những truy vấn SQL được sử dụng với mưu đồ xấu nhằm tấn công website.

Phiên bản 2.5 được bổ sung thêm các chức năng và tích hợp cho IIS 6.0

phòng thủ tạm thời khi nguy cấp trong lúc lập trình viên sửa chữa các lỗi trong mã web mà tin tặc lợi dụng khai thác.

"Đây chỉ là một phương cách giảm bớt" - Wade Hilmo, trưởng nhóm phát triển cấp cao thuộc nhóm phát triển IIS, lưu ý về giới hạn của UrlScan. "UrlScan có thể loại tất cả những phiên bản cách thức tấn công mà chúng tôi đã ghi nhận được trong năm nay".

Song song đó, nhóm phát triển SQL Server cũng phát hành công cụ bảo vệ thứ 2, đó là "SQL Source Code Analysis Tool". Công cụ này giúp phân tích mã ASP.Net và chộp lấy các lỗi. Những website vận hành trên mã nguồn ASP.Net của Microsoft đang là mục tiêu tấn công thu hút tin tặc trong năm 2008.

"Xu hướng tấn công SQL Injection thật sự bắt đầu khi các công ty tiến vào công nghệ web 2.0 và quyết định họ phải có những tính năng, ứng dụng như mạng xã hội hay dịch vụ blog trên website của mình. Rất nhiều tính năng đã được bổ sung và không được kiểm tra cơ bản. Kiểu xây dựng dối trá đã phá vỡ qui tắc" - John Pescatore, chuyên gia phân tích của Gartner, nhận định.

HP Scrawl (viết tắt của SQL Injector and Crawler) là tên của công cụ bảo mật được phát triển bởi nhóm bảo mật web từ Hãng HP. HP Scrawl sẽ thực hiện công việc phân tích các trang web để tìm lỗ hổng có thể bị khai thác SQL Injection và báo cáo chi tiết về lỗi.

Cả Microsoft và HP đều cố gắng trang bị thêm "vũ khí" để đương đầu với tin tặc trong cuộc chiến bảo mật website. Đây cũng là một tin vui cho các quản trị viên cũng như lập trình viên phát triển website sử dụng ASP.Net và hệ CSDL Microsoft SQL.

UrlScan 3.0 Beta: Thông tin tham khảo có thể truy cập tại đây (cài đặt), tương thích với các phiên bản hệ điều hành Windows XP, Vista, Server 2003, Server 2008 trên nền tảng IIS 5.1, 6.0, 7.0. Người dùng có thể tải UrlScan tùy thuộc vào 2 phiên bản x86 và x64.

SQL Source Code Analysis Tool: Tương thích với Windows Server 2003 Service Pack 1; Windows Server 2008; Windows Vista; Windows XP Service Pack 2. Yêu cầu .NET framework 3.0. Liên kết tải về và hướng dẫn sử dụng.

HP Scrawl: tải về tại đây. Diễn đàn trao đổi kinh nghiệm về HP Scrawl.