Tạp Chí Pc

Ngày hôm qua Microsoft vừa phát hành một công cụ nhằm cải thiện tính năng bảo mật cho Internet Information Service, đây là công cụ được thiết kế để giúp ngăn chặn các tấn công SQL injection. Ứng dụng miễn phí có tên gọi UrlScan 3.0 (phát hành dành cho phiên bản Web), là một add-on cho IIS để thẩm định thời gian thực các yêu cầu của máy chủ HTTP và khóa chặn mã độc.

>> Zombies và botnets - đội quân tin tặc hùng hậu
>>Hàng ngàn máy chủ bị tấn công SQL Injection
>>Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET

Các tấn công SQL injection đã trở thành một vấn đề toàn cầu trong 8 tháng gần đây. Chúng ảnh hưởng đến các website được viết trên mã nguồn ASP hoặc ASP.NET của Microsoft, hoặc mã kích hoạt website động.

Tháng 6 vừa qua, Microsoft đã đưa ra giải thích (Security Advisory 954462) trong đó nói rằng, vấn đề tấn công SQL injection không nằm trong bản chất của SQL Server mà chính là do các thao tác bảo mật yếu kém trong các ứng dụng web đã gây ra.

Tấn công SQL injection là một tấn công trực tiếp nhằm vào SQL Server bằng cách sử dụng mã độc trong một chuỗi truy vấn và lọt qua SQL Server thông qua một ứng dụng Internet. Nếu biện pháp bảo vệ không được thực hiện đúng thì mã này sẽ được thực thi bởi Microsoft SQL Server và gây ra sự tàn phá cho các website.

UrlScan hiện đã được cung cấp 5 năm nay, nhưng Microsoft đã bổ sung thêm một số tính năng mới trong phiên bản 3.0. Có lẽ sự cải tiến quan trọng nhất mà UrlScan 3.0 cung cấp chính là sự hỗ trợ quét các chuỗi truy vấn.

Với những lý do kỹ thuật, các phiên bản trước đây của UrlScan đã không kiểm tra chuỗi truy vấn trong yêu cầu máy chủ. Mà thay vào đó UrlScan Version 2.5 đã khóa các yêu cầu máy chủ dựa trên các khía cạnh như chiều dài của chuỗi URL, theo Wade Hilmo, một nhà phụ trách nhóm sản phẩm IIS của Microsoft (nhóm đã viết UrlScan) đã cho biết như vậy.

“Trong [UrlScan] 3.0, chúng tôi đã bổ sung thêm tính năng lọc dựa trên chuỗi truy vấn, thêm vào URL. Bên cạnh đó cũng đã bổ sung thêm khả năng tạo các role tinh hơn để nhắm đến các yêu cầu cụ thể. Cho ví dụ, bạn có thể viết một rule chỉ để áp dụng cho các trang ASP hoặc PHP, đây là khả năng mà bạn sẽ không thể thực hiện trong phiên bản UrlScan 2.5.”

Một cải thiện khác cho các chuyên gia phát triển đó là khả năng chỉ định một danh sách các URL và các chuỗi truy vấn an toàn nhằm có thể cho qua khâu kiểm tra của UrlScan. Thêm vào đó, Version 3.0 sử dụng các bản ghi định dạng W3C để tạo sự dễ dàng cho việc phân tích.

Phiên bản 3.0 của UrlScan có thể tương thích với các bộ quản trị file cấu hình đã được sử dụng trong phiên bản 2.5, chính vì vậy các thiết lập đó được giữ lại trên một nâng cấp cho máy chủ sản xuất. Microsoft cũng bổ sung thêm sự hỗ trợ cho IIS 64-bit trong phiên bản này.

Nếu sử dụng Web server phiên bản mới nhất của Microsoft, IIS 7.0, thì có nghĩa bạn đã có các tính năng của UrlScan 2.5 bên trong với tư cách là một thành phần của IIS dưới tên gọi Request Filter. Hiện Microsoft cũng đã lên kế hoạch nâng cấp IIS 7.0 trong tương lai để bổ sung thêm các tính năng mới trong UrlScan 3.0 cho IIS 7.0.

UrlScan 3.0 không có phải là liều thuốc chữa bách bệnh bảo mật Web. Hilmo đã mô tả nó chỉ mang tính chất “tạm thời” có thể được sử dụng để bảo vệ máy chủ. Vấn đề bảo mật cuối cùng vẫn cần phải được thi hành trong bản thân ứng dụng web.

“Thực sự mà nói, ứng dụng đang chạy trên máy chủ chỉ là một phần mã biết đến truy vấn SQL được dự định thực hiện những gì. Chính vì vậy để sửa nguyên nhân gốc gác ở đây đòi hỏi các chuyên gia phát triển ứng dụng phải bắt tay vào và thực hiện hợp lệ hóa cũng như bảo đảm rằng dữ liệu SQL mà họ gửi đến SQL Server là những gì họ dự định”. Hilmo đã giải thích như vậy.
 

Name

Email

Comment smaller | bigger

I have read and agree to the Terms of Usage.

Add Comment