マイクロソフト、SQLインジェクション攻撃対策ツールを発表

★マイクロソフト、SQLインジェクション攻撃対策のツールを発表（CNET）
★Microsoft、SQLインジェクション深刻化に警告（ITMEDIA）
「Microsoft SQL Server」のセキュリティ上の脆弱性を利用して感染するSQLスラマー等のウイルスがサーバーで大流行しておりｊましたが（まあSQLインジェクションはWindows Serverに限るというわけじゃないですが）、マイクロソフトがSQLインジェクション対策のツールを発表しました。

Internet Information Services（IIS）が処理するHTTPリクエストの種類を制限する「UrlScan 3.0β」にSQLインジェクション攻撃を受けやすいASPコードを検出する「Microsoft Source Code Analyzer for SQL Injection Community Technology Preview」、SQLインジェクション攻撃を受けやすいかどうかコードを確認できるコードスキャンツール「Scrawlr」です。

ちゅうかIISのモジュールにこういうSQLインジェクション対策のモジュールとか標準で入れられませんかね。UrlScan 3.0βのβが取れたら標準で組み込めるようにしちゃえばいいに。

Apacheでいえばmod_securityというモジュールでリクエストフィルタリング、パラメータフィルタリング（Cookie等）、詳細ログ取得、HTTPSフィルタリングを実装できクロスサイトスクリプティングやSQLインジェクション対策になるようで。もちろんアプリの側でも気をつけておくニコしたことはないし各関連サービスをアップデート（もしくはパッチあて）しておくのも必要なのでしょうが。

関連
★「 SQL インジェクションによる不正アクセスが多発！ 」
～ あなたのウェブサイトも狙われています。対策は十分ですか？ ～（IPA）

Posted by 封神龍（酒） at 2008年06月25日 20:10 | トらックバック | 【所属カテゴリ： ビジネス4】【コメントについて】【トラッくバックについて】【RSS登録について】

http://www.yuumediatown.com/diary/mt001/archives/008758.htmlマイクロソフト、SQLインジェクション攻撃対策ツールを発表