Strumento di sicurezza web scanner per IIS / SQL Server

5

Sto provando a eseguire test di penetrazione del nostro sito Web ASP.NET per verificare la presenza di scappatoie di sicurezza (in particolare per le iniezioni SQL). Abbiamo acquistato uno strumento di scansione web commerciale (IBM Rational AppScan), tuttavia esegue solo la scansione black box per IIS e non riesce a rilevare le iniezioni SQL in determinati scenari.

Quello che stiamo cercando è uno strumento simile a AppScan, ma dovrebbe anche essere in grado di "collegarsi" a un processo IIS (o DB di SQL Server che stiamo usando come back-end) e rilevare se una determinata richiesta HTTP ha generato un'iniezione SQL reale.

Sembra che l'ultima versione di AppScan (8.5) lo faccia ma solo per i servizi Web basati su Java. Abbiamo bisogno di qualcosa che possa funzionare in ambiente IIS / SQL Server.

    
posta Michael Narinsky 04.05.2012 - 02:13
fonte

2 risposte

1

Non sono sicuro che tu stia cercando uno strumento preventivo o uno strumento investigativo.

Un SQLI è fondamentalmente un metodo per fare in modo che un server app invii query sql valide al database, giusto? Il test della penna può mostrare il "come", data la miriade di modi per inviare query da eseguire dal server sql. Se stai cercando tecnologie preventive (e talvolta detective), un firewall di applicazioni web e un firewall di database possono adattarsi meglio di uno strumento di test delle app (razionale, di base, ecc.). Un firewall di applicazioni Web di solito include firme per un sacco di informazioni tra cui diversi metodi di iniezione SQL, ma alcuni dei prodotti avanzati imprimeranno i tipici dati di richiesta e risposta per assicurarsi che una richiesta valida non generi una risposta atipica.

Un firewall di database recupera il punto in cui il firewall dell'applicazione Web è stato interrotto e tiene d'occhio la query e la risposta effettive.

Imperva offre sia firewall web che database. Secerno / Oracle offre un firewall di database, ma penso che sia solo per Oracle dbs. Sono sicuro che ci sono altri fornitori che offrono un firewall di database.

    
risposta data 04.05.2012 - 18:15
fonte
-3

L'agenzia federale dove sono in contratto utilizza AppScan per le recensioni delle applicazioni Web e AppDetective per il lato del database. Supporta SQL Server.
Non l'ho mai eseguito da solo, ma ho dovuto rispondere ai rapporti degli audit che sono stati eseguiti.

    
risposta data 05.06.2012 - 16:49
fonte

Leggi altre domande sui tag