Anche nella classifica stilata da OWASP, le cosiddette “injection flaws” sono tra quelle considerate più pericolose. Si chiama “SQL injection” una particolare pratica di hacking che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e la gestione di dati. L’attacco si concretizza quando l’aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non vengono opportunamente filtrati, l’interrogazione SQL posta in input, potrebbe essere “agganciata” alla query effettuata a livello server dall’applicazione web. I risultati possono essere drammatici: l’aggressore, nel caso in cui l’attacco vada a buon fine, può essere in grado di alterare dati memorizzati nel database, aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati, modificare username e password.
Da qualche tempo, molti siti web vengono “bersagliati” con l’aggiunta di codice nocivo – generalmente contenuto all’interno di IFRAME e spesso “offuscato”.
Secondo i dati di F-Secure, il numero di pagine web attaccate con metodologie “SQL Injection” sarebbe compreso tra i due ed i tre milioni.
L’allarme è stato confermato da Microsoft ed HP che hanno rilasciato alcuni strumenti per rilevare falle di sicurezza che potrebbero esporre ad attacchi “SQL Injection”. Microsoft aveva già nelle scorse settimane puntualizzato come problemi del genere fossero da ricondursi non a vulnerabilità delle applicazioni server quanto, bensì, ad una cattiva o superficiale programmazione delle pagine web dinamiche.
Tre sono gli strumenti proposti: HP Scrawlr si occupa di effettuare una scansione, lato client, alla ricerca di eventuali vulnerabilità “SQL Injection”. SQL Source Code Analysis Tool, invece, agisce lato server verificando la corretta gestione dei parametri passati in input ad ogni pagina web dinamica.
Microsoft propone infine la versione beta di URLScan 3.0, uno strumento destinato a server Windows (IIS 5.1 e successivi, compreso il più recente IIS 7.0) che si occupa di analizzare le richieste HTTP in arrivo “stralciando” quelle ritenute potenzialmente offensive.