Microsoft acaba de publicar una versión mejorada de URLScan, un extra para su servidor Web que actúa como filtro frente a intentos de inyección SQL y códigos maliciosos.
Pero, ¿cuál es la principal novedad que aporta URLScan 3.0 frente a su versión anterior 2.5? Pues nada más y nada menos que la nueva versión filtra también las "query string" (es decir, las cadenas que van en la URL tras el dominio, que es precisamente dónde suele está el "quid" de la cuestión). Hasta hoy, y por increíble que parezca, URLScan no filtraba las cadenas que incluyen la consulta SQL, sino sólo las URLs y en función de características tan superficiales como su longitud.
URLScan 3.0 también aporta un control más estricto que permite a los administradores definir reglas mucho más específicas, así como implementar listas blancas de cadenas de consulta permitidas.
Una vez más, Microsoft desmiente así a sus propios "fanboys", que al menos hasta hoy defendían con su característico empecinamiento que toda la responsabilidad de los últimos ataques masivos recaía exclusivamente en los desarrolladores de aplicaciones
Y es que es cierto: los ataques por inyección SQL no son "culpa" del servidor SQL de Microsoft (ni mucho menos exclusivos de sus servidores), pero la propia multinacional norteamericana reconoce que URLScan 3.0 está mejor construido que la versión anterior, y que puede ayudar al menos a que no se reproduzcan los ataques con la lamentable facilidad con que vienen haciéndolo últimamente sobre el servidor web de esta empresa...
Referencias:
- URLScan 3.0 rtw (release to web) available [Steve Schofield Weblog, Microsoft].
- Microsoft Tool Helps Filter SQL Injection Attacks [Redmond News].
- Using UrlScan [Microsoft IIS].
- SQL Injection Attacks on IIS Web Servers [Microsoft IIS].
- UrlScan v3.0 Beta Release [Microsoft IIS. Nota de presentación de la beta el pasado mes de junio].
Entradas
No hay comentarios:
Publicar un comentario