Depuis quelques temps, il y a une recrudescence des attaques par injection SQL. Cette menace est prise très au sérieuse car n'importe quel serveur web peut être concerné. Heureusement que la recrudescence récente n'a pas de lendemain.

Toutefois, cela a fait bouger les choses. Depuis la sortie de Windows Server 2008, l'architecture de communication a été grandement modifiée tout comme Internet Information Service (IIS). Ces différentes couches reposent dorénavant sur Windows Communication Foundation.

La dernière vague d'attaque, qui n'a heureusement pas eu de lendemain, visée les serveurs fonctionnant avec IIS s'appuyant sur SQL Server. Des requêtes spécialement conçues pouvaient provoquer des dommages à la structure SQL du serveur. Microsoft avait bien un bug a corrigé mais pas seulement. La dernière version d'IIS, la version 7 incluse dans Windows Server 2008, n'a également pas encore d'outil pour vérifier la fiabilité des serveurs tournant avec cette dernière version.

En effet, Microsoft met un outil à disposition des développeurs à cet effet : UrlScan Filter. Celui-ci est mis à disposition depuis 2001 mais n'était pas encore compatible avec IIS 7. La dernière vague d'attaques à fait accélérer le mouvement et sa troisième mouture en version bêta fait son apparition avec la prise en charge de IIS 7.

UrlScan est un outil qui permet de se défendre contre ce genre d'attaque. Cependant, Microsoft rappel que ce n'est qu'un et ne doit pas être le seul employé par les développeurs. Cet outil permet de définir très précisément les limites entre les diverses fonctionnalités qui peuvent être appelées depuis une requête SQL. Par exemple, cet outil peut bloquer les requête faisant appel au protocole WebDAV quand ce dernier n'est plus utilisé dans les entreprises qui avaient bâties des services avec.

Microsoft propose également un autre outil en version bêta lui aussi. Il permet de scanner le code source des pages afin de mettre en avant les possibles portions qui seraient vulnérables aux injections SQL.

Enfin, en partenariat avec HP, Microsoft propose également un autre outil Scrawlr. Il se destine aux sites web déjà en place et permet de surveiller les paramètres de chaque page à la recherche de vulnérabilités connues aux injections SQL.

Dans certains cas, les attaques amènent le malheur mais peu aussi apporter du bon. ;)

Commentaires (4)

Avatar de l'utilisateur nathannathan - Samedi 28 juin 2008, 16:51
merci pour ces infos sur windows server 2008 j'ai compris sur  les attaques injection SQL . a part ca  j'ai remarque que  j'ai pas info sur les flux rss je suis toujours sur les infos de « Live Maps mis à jour : ressemblance avec Live Search » (http://www.pinnula.fr/live-maps-mis-a-jour-ressemblance-avec-live-search) je n'ai pas la suite 4 news avant .je suis allé sur le site pour voir les nouvelles de pinnula.
Avatar de l'utilisateur Christophe LavalleChristophe Lavalle - Samedi 28 juin 2008, 17:14
Ah, merci de me signaler ce bug. J'inspecte tout de suite pour voir d'où peut venir ce problème. :)
Avatar de l'utilisateur Christophe LavalleChristophe Lavalle - Samedi 28 juin 2008, 17:18

Après quelques tests, je ne vois pas le problème dont tu me parles. Le flux RSS est à jour.

Peux-tu me préciser la manière dont tu lis le flux (quel logiciel, navigateur...) ?

Avatar de l'utilisateur nathannathan - Samedi 28 juin 2008, 18:00
j'ai ie 7 sur vista et je vais de faire un essai et là c'est bien j'ai les 4 news qui sont apparus et j'ai cliques  sur le flux rss de pinnula de actualisé et maintenait c'est bon