Tuesday, June 24th, 2008...11:33 pm

Narzędzie do analizy kodu pod kątem SQL Injection

Jump to Comments

Temat SQL Injection jest znany od tak dawna, że chyba nikt nie pamięta od kiedy. Pamiętam moje szeroko otwarte oczy, kiedy pierwszy raz ktoś mi pokazał że to aż tak łatwo … w zasadzie to nie wiem jaką teraz może mieć wymówkę developer, który tworzy aplikację podatną na SQL Injection. Temat ten zresztą jest prawie dyżurnym tematem na blogu Pawła (polecam). Tak że o samym problemie nie będę się rozpisywał.

Ostatnio problemem w sieci stały się zmasowane, zautomatyzowane ataki polegające na skanowaniu aplikacji i automatycznym wykorzystywaniu SQL Injection do różnego rodzaju działań. Cóż … jak widać kreatywnych developerów nie brakuje.

Widać problem stał sie na tyle duży, że nawet moja obecna matka korporacja postanowiła coś z tym zrobić, i oprócz opublikowania ostrzeżenia i opisu problemu wydała również Source Code Analyzer for SQL Injection. Jeżeli faktycznie działa poprawnie (do sprawdzenia przez zajmujących się tematem) to przynajmniej developerzy ASP .NET ASP będą mieli już o jedną wymówkę mniej.

Leave a Reply