عنوان:

‫متوقف سازی حملات خودکار تزریق اس کیوال در IIS


نویسنده: وحید نصیری
تاریخ: ۱۳۹۰/۰۶/۱۵ ۰۰:۱۴:۰۰
آدرس: www.dntips.ir

یک سری ابزار وجود دارند که کارشان امتحان الگوهای متداول حملات تزریق اس کیوال به سایت‌ها است. تیم امنیتی اس کیوال سرور وقت گذاشته و این‌ها رو آنالیز کرده، نتیجه‌اش شده یک الگو:

تیم امنیتی IIS هم برای این الگو، یک IIS URL Rewrite زیبا رو تهیه کرده تا فقط با اضافه کردن آن به web.config یک برنامه وب، تعداد زیادی از حملات خودکار تزریق اس کیوال را بتوان بلاک کرد:

این مورد را می‌شود به چک لیست انتشار یک برنامه ASP.NET اضافه کرد.

نظرات

  • مهمان در ۱۳۹۰/۰۶/۱۵ ۰۸:۲۶:۲۲
    سلام آقای نصیری
     با تشکر از مطلب مفیدتون. من فکر کنم اینها فقط جلوی حمله خاصی رو گرفتن و کاری که گفتن به متوقف سازی کل Sql Injection کمک نمیکنه
  • وحید نصیری در ۱۳۹۰/۰۶/۱۵ ۰۸:۳۲:۳۵
    به همین جهت روی کلمه‌ی automated تاکید کردند.
  • مهمان در ۱۳۹۰/۰۶/۱۵ ۲۲:۵۲:۴۱
    با سلام جناب نصیری
    سوال من اینه که آیا هنوز افرادی هستند که برنامه هاشون مشکل تزریق کد SQL داشته باشه؟
    اگه همه دستورات ارسالی به پایگاه داده رو از طریق یه DAL و یا ... (با استفده از Parameter در SQL) باشه، چه لزومی به این کارها و ایجاد یک سرباره؟
  • وحید نصیری در ۱۳۹۰/۰۶/۱۵ ۲۳:۰۰:۲۸
    بله. اگر کسی از یکی از ORM های موجود استفاده کند، نیازی به این بازی‌ها نخواهد داشت:
    https://www.dntips.ir/2009/11/linq-to-sql.html

    ولی در سایر موارد فقط کافی است یکی یک مورد را فراموش کند؛ یا پروژه‌های قدیمی هنوز برقرار باشند. بنابراین بهتر است کمی احتیاط کرد.
  • مهمان در ۱۳۹۰/۰۶/۲۲ ۲۰:۲۰:۱۵
    در تایید شما:
    http://feedproxy.google.com/~r/readwriteweb/~3/m7Gqu3WscwE/a-brief-history-of-sql-injecti.php
  • مهمان در ۱۳۹۲/۰۳/۲۳ ۱۹:۲۱
    سلام؛ کد دوم که باید بذاریم تویه وب کانفیگ رو بنده تویه سایتم گذاشتم ولی تگ <rewrite>  رو شناسایی نمیکنه باید تغییر دیگه  ای اعمال کنم.التبه خطایی نمیده ولی تویه وب کانفیگ یه خط آبی رنگ زیرش کشیده و میگه که تگ<system.webServer>  شامل این تگ نیست با تشکر
    • وحید نصیری در ۱۳۹۲/۰۳/۲۳ ۲۰:۱۶
      بله. باید ماژول URL Rewrite روی وب سرور نصب باشد.