Tutti usavano Microsoft IIS e Sql Server. A casa Redmond, però, sostengono di non avere colpa.
[ZEUS News - www.zeusnews.it - 30-04-2008]
Circa mezzo milioni di siti attrezzati con Microsoft Internet Information Server e Microsoft Sql Server sono stati oggetti di un attacco di tipo Sql injection.
La colpa, però, non sarebbe direttamente della società di Redmond; non si tratta, infatti, di una nuova falla non ancora sistemata, ma di un mancato rispetto delle procedure di sicurezza nella gestione dell'immissione di dati nei database.
A semplificare il lavoro degli attaccanti è tuttavia una caratteristica di Iis: esso permette l'uso di comandi generici, che non richiedono argomenti specifici a livello di tabella; d'altra parte, sia Microsoft che gli esperti di sicurezza che finora hanno commentato l'accaduto sono d'accordo nel ritenere che i responsabili principali siano i realizzatori dei database.
Nell'attesa che tutti i siti vengano messi in sicurezza (per molti questo è già avvenuto), la soluzione che permette agli utenti di proteggersi è semplice: basta usare Firefox con l'estensione NoScript, che blocca il codice malevolo prima che venga caricato.
Per difendersi dagli attacchi di questo tipo, Microsoft ha pubblicato le linee guida che è bene seguire nella realizzazione di siti basati su Ms-Sql.
I webmaster i cui siti sono già stati colpiti, invece, sono invitati a ripristinare il proprio database da una copia di backup.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|