微軟針對ASP提供SQL Injection分析工具(Microsoft ® Source Code Analyzer for SQL Injection)

資料隱碼(sql injection)攻擊玩法越來越多變,因此市場上也開始有相關資安工具出現,提供掃瞄系統程式是否有防堵這部分。有的是針對線上運作中的網頁掃瞄,有的是針對靜態的程式去掃瞄…不過,一直沒看到Microsoft有針對這部分提供工具(相關資訊倒是提供不少,但大都只針對他們主推的 .Net來說明。雖然說觀念相同,但比較難見到針對以前ASP這部分的)

不知是不是五月底那一波大規模的資料隱碼(sql injection)攻擊,所以台灣微軟有出些專文出來…不過,引起我注意的,卻是在差不多時間出現的這套工具 - Microsoft R Source Code Analyzer for SQL Injection


該工具是並非針對線上程式做侵入式的掃瞄(雖然有些免費的工具或網站,可以提供線上去掃瞄網頁。不過,總覺得有點引狼入室的感覺…),而是針對『靜態程式』去掃瞄。MS提供的參考資料還不少,有中文介紹 ,也有英文簡易介紹(詳細英文介紹,建議一定要看解開壓縮後的readme.htm)!

一開始使用的時候,覺得還不錯,他會產生出一個xml的測試結果。但馬上也發現兩個缺點…
  • 就是該工具只能針對單一檔案處理。
    偏偏一般來講,我們要撿測自己的系統時,一定是一個目錄(甚至多個目錄)。這樣的處理方式,就稍嫌不便了…
  • 做出來的xml,實在看不懂
    拿了免費的XML Notepad 2007來看,實在還是很難解讀這分析結果…

留言