ינשוף עבור IIS מזהה SQLs רק לפני אלה מבוצעים בזמן ריצה. כלומר על ידי יישום Runtime יישום הגנה עצמית מודול (צרידות).
יישום האינטרנט שלך הוא מקבל קלט באמצעות פרמטרים של שאילתה ופוסט. הקלט יכול לייצר Cross-site scripting, הזרקת SQL ו פרצות אבטחה אחרות. עד עכשיו אנחנו יודעים יש WAF מגבלות כפי שהוא אינו פועל בתהליך אבל ברשת: 1. מסוים עשויים להיות תלוי מפתחות SSL כשהתנועה מוצפנת. אלה לא יכולים לטפל במקרה DH 2. זה לא יכול להיות בטוח איזה המשתמש אחראי משפטי SQL אשר כתהליך רשאי להשתמש משתמש אחר כדי להפעיל את SQLs 3. URL מתוחכם שיבוש עלול להטעות מפתחי WAF 4. קביעה אחורית ביישום (מופעל על ידי פרמטר שאילתא נוסף ולבסוף להפעיל קוד זדוני ייעודי). איך WAF יכול להבין את זה?
קח את הדוגמה הבאה: הדפדפן של המשתמש שולח בקשת HTTP זה כדי לקבל רשימה של משתמשים ב http המחלקה:? //applicationHost/getData.aspx קוד = derpatment. אבל המשתמש יכול גם לשנות באופן ידני לתוך ערך קוד שונה כמו http:? //applicationHost/getData.aspx קוד = חברה. בנוסף לכך יניח כי SQLs ומבוצעות על ידי מאגר חוט שאימת בעזרת כמה משתמש גנרי. 1. כלי מסד נתונים לא יכולים לדעת מי יצר את הבקשה. 2. WAF צריך להיות מתוחכם כדי להבין שמשהו לא בסדר עם כתובת האתר.
האפשרות היחידה שאתה צריך לתאם את פרטי המשתמש (שם ו IP) עם משפט SQL המדויק כי הבקשה מבצעת היא על ידי כך בנקודה שבה היישום שולח את משפט SQL מחוץ לתהליך. זהו SQL אמיתי לאחר יישום להשלים את עיבוד קלט. אין היוריסטיות, לא חיובי כוזב. ינשוף עבור IIS הוא מכוון על מנת לחשוף את כל משפטי SQL
מה חדש במהדורה זו:.
גרסה 1.3:
- קובץ ביקורת כולל כעת שם משתמש
- אינטגרציה עם IBM גארדיום לעבור שם משתמש יישום
תגובות לא נמצא