κουκουβάγια για το IIS προσδιορίζει SQLs λίγο πριν από εκείνους που εκτελούνται σε χρόνο εκτέλεσης. Αυτό είναι με την εφαρμογή χρόνου εκτέλεσης εφαρμογών Αυτοπροστασίας (ράσπα) μονάδα.
web εφαρμογή σας είναι να πάρει εισόδου μέσω ερώτημα και μετά παραμέτρους. Η είσοδος μπορεί να παράγει cross-site scripting, SQL ένεση και άλλες παραβιάσεις της ασφάλειας. Μέχρι τώρα γνωρίζουμε WAF έχει περιορισμούς, δεδομένου ότι δεν τρέχει κατά τη διαδικασία, αλλά στο δίκτυο: 1. Ορισμένοι μπορεί να εξαρτάται από τα κλειδιά SSL, όταν η κίνηση είναι κρυπτογραφημένη. Εκείνοι που δεν μπορούν να χειριστούν την υπόθεση DH 2. Δεν μπορούν να είναι βέβαιοι για το ποια χρήστης είναι υπεύθυνος για τις οποίες οι δηλώσεις SQL ως η διαδικασία μπορεί να χρησιμοποιήσει ένα διαφορετικό χρήστη να τρέξει τα SQLs 3. Εξελιγμένα URL αλλοίωσης μπορεί να ξεγελάσει το WAF 4. καθορισμό ενός κερκόπορτα στην εφαρμογή Developer (ενεργοποιείται με επιπλέον παράμετρο ερωτήματος για να τρέξει επιτέλους ειδικό κακόβουλο κώδικα). Πώς WAF να καταλάβω;
Πάρτε το ακόλουθο παράδειγμα: το πρόγραμμα περιήγησης του χρήστη στέλνει αυτό το αίτημα HTTP για να πάρετε μια λίστα των χρηστών στο http τμήμα: //applicationHost/getData.aspx κωδικός = derpatment. Αλλά ο χρήστης μπορεί επίσης να αλλάξει με το χέρι σε μια διαφορετική τιμή κώδικα όπως http: //applicationHost/getData.aspx κωδικός = εταιρείας. Εκτός από ότι ας πούμε ότι οι SQLs που εκτελούνται από μια πισίνα νήμα που επικυρώνονται χρησιμοποιώντας κάποια γενικής χρήσης. 1. εργαλείο βάσης δεδομένων δεν μπορεί να πει ποιος προήλθε το αίτημα. 2. WAF πρέπει να είναι περίπλοκο να καταλάβω κάτι δεν πάει καλά με τη διεύθυνση URL.
Η μόνη επιλογή που έχετε να συσχετίσει τα στοιχεία των χρηστών (όνομα και IP) με ακριβή SQL δήλωση ότι η αίτηση εκτέλεσης είναι με το να είναι στο σημείο όπου η εφαρμογή αποστέλλει τη δήλωση SQL από τη διαδικασία. Αυτό είναι το πραγματικό SQL μετά την εφαρμογή ολοκληρωθεί η επεξεργασία των εισροών. Δεν heuristics, δεν ψευδώς θετικό. Κουκουβάγια για τις υπηρεσίες IIS έχει ως στόχο να εκθέσει όλα τα SQL δηλώσεις
Τι είναι καινούργιο σε αυτή την έκδοση:.
Έκδοση 1.3:
- φάκελο ελέγχου περιλαμβάνουν πλέον το όνομα χρήστη
- ένταξης με την IBM Guardium να περάσει αίτηση όνομα χρήστη
Τα σχόλια δεν βρέθηκε