Owl for IIS

צילום מסך תוכנה:
Owl for IIS
פרטי תוכנה:
גרסה: 1.3 מעודכן
טען תאריך: 10 Jan 17
מפתחים: Gomby-Labs
רשיון: ללא תשלום
פופולריות: 108
גודל: 925 Kb

Rating: 3.3/5 (Total Votes: 3)

ינשוף עבור IIS מזהה SQLs רק לפני אלה מבוצעים בזמן ריצה. כלומר על ידי יישום Runtime יישום הגנה עצמית מודול (צרידות).

יישום האינטרנט שלך הוא מקבל קלט באמצעות פרמטרים של שאילתה ופוסט. הקלט יכול לייצר Cross-site scripting, הזרקת SQL ו פרצות אבטחה אחרות. עד עכשיו אנחנו יודעים יש WAF מגבלות כפי שהוא אינו פועל בתהליך אבל ברשת: 1. מסוים עשויים להיות תלוי מפתחות SSL כשהתנועה מוצפנת. אלה לא יכולים לטפל במקרה DH 2. זה לא יכול להיות בטוח איזה המשתמש אחראי משפטי SQL אשר כתהליך רשאי להשתמש משתמש אחר כדי להפעיל את SQLs 3. URL מתוחכם שיבוש עלול להטעות מפתחי WAF 4. קביעה אחורית ביישום (מופעל על ידי פרמטר שאילתא נוסף ולבסוף להפעיל קוד זדוני ייעודי). איך WAF יכול להבין את זה?

קח את הדוגמה הבאה: הדפדפן של המשתמש שולח בקשת HTTP זה כדי לקבל רשימה של משתמשים ב http המחלקה:? //applicationHost/getData.aspx קוד = derpatment. אבל המשתמש יכול גם לשנות באופן ידני לתוך ערך קוד שונה כמו http:? //applicationHost/getData.aspx קוד = חברה. בנוסף לכך יניח כי SQLs ומבוצעות על ידי מאגר חוט שאימת בעזרת כמה משתמש גנרי. 1. כלי מסד נתונים לא יכולים לדעת מי יצר את הבקשה. 2. WAF צריך להיות מתוחכם כדי להבין שמשהו לא בסדר עם כתובת האתר.

האפשרות היחידה שאתה צריך לתאם את פרטי המשתמש (שם ו IP) עם משפט SQL המדויק כי הבקשה מבצעת היא על ידי כך בנקודה שבה היישום שולח את משפט SQL מחוץ לתהליך. זהו SQL אמיתי לאחר יישום להשלים את עיבוד קלט. אין היוריסטיות, לא חיובי כוזב. ינשוף עבור IIS הוא מכוון על מנת לחשוף את כל משפטי SQL

מה חדש במהדורה זו:.

גרסה 1.3:

  • קובץ ביקורת כולל כעת שם משתמש
  • אינטגרציה עם IBM גארדיום לעבור שם משתמש יישום

מערכות הפעלה נתמכות

תוכנה דומה

Pearl Echo
Pearl Echo

16 Apr 15

secOutlook
secOutlook

23 Jan 15

Syspeace (64-bit)
Syspeace (64-bit)

22 Jan 15

תוכנות אחרות של יזם Gomby-Labs

Owl for Network
Owl for Network

30 Oct 16

תגובות ל Owl for IIS

תגובות לא נמצא
להוסיף הערה
הפעל את התמונות!