Suite à la publication de cet avis de sécurité (955562) liés à l'augementation des attaques « SQL injection » à destination de vos sites Web développés en ASP et ASP.NET, Microsoft a souhaité rappeler l’existence d’outils permettant de lutter efficacement contre ce fléau.

Pour rappel, ces attaques n’exploitent guère les  vulnérabilités des produits de l’éditeur (IIS par exemple), mais le code généré par les applications web développées par vos soins.  En effet, si elles ne respectent pas les bonnes pratiques en la matière, un code malicieux peut y être inséré pour obtenir l’accès à la base hébergeant les données sensibles ou voir, à l’ensemble du serveur hôte…

Microsoft Source Code Analyzer for SQL Injection , Développé par l’équipe SQL Server, il permet de parsser votre code ASP afin d'identifier les commandes d’accès  susceptibles d’être utilisées par cette menace.

Microsoft Urlscan Filter v3.0 Beta version x86 et x64. Il succède à la version 2.5 de l’outil intégré au kit IIS Lockdown Tool. Cet outil est basé sur des filtres ISAPI permettant d’examiner le contenu des requêtes HTTP afin d’identifier les URL et en-têtes utilisées à des fins d’attaque de type « buffer overflow, caractères indésirables etc… ».  En bref il est remis au gout du jour (IIS7) !