Owl for IIS

Software screenshot:
Owl for IIS
Dettagli del software:
Versione: 1.3 Aggiornato
Data di caricamento: 10 Jan 17
Sviluppatore: Gomby-Labs
Licenza: Libero
Popolarità: 108
Dimensione: 925 Kb

Rating: 3.3/5 (Total Votes: 3)

Owl per IIS identifica SQLs poco prima di quelli vengono eseguite in runtime. Cioè mediante l'attuazione di modulo Runtime Application Self-Protection (RASPA).

L'applicazione web è sempre in ingresso tramite parametri di query e post. L'ingresso può produrre cross-site scripting, SQL injection e di altre violazioni della sicurezza. Ormai sappiamo WAF ha dei limiti in quanto non viene eseguito nel processo, ma in rete: 1. Alcuni possono dipendere chiavi SSL quando il traffico è crittografato. Coloro che non possono gestire il caso DH 2. Non può essere sicuri di quale utente è responsabile che le istruzioni SQL come il processo può utilizzare un utente diverso per eseguire i SQLs 3. URL sofisticata manomissione può ingannare il WAF 4. impostazione di una backdoor nel Application Developer (attivato dal parametro di query in più per eseguire codice dannoso, infine, dedicato). Come WAF può capirlo?

Prendiamo il seguente esempio: il browser utente sta inviando questa richiesta HTTP per ottenere un elenco di utenti nel reparto http:? //applicationHost/getData.aspx Codice = derpatment. Ma l'utente può anche modificare manualmente in un valore di codice diverso, come http:? //applicationHost/getData.aspx Codice = società. In aggiunta a ciò consente di dire che i SQLs vengono eseguiti da un pool di thread che ha autenticato utilizzando alcuni utente generico. 1. strumento di database non può dire che ha originato la richiesta. 2. WAF bisogno di essere sofisticati per capire che qualcosa non va con l'URL.

L'unica possibilità che hai di correlare dati utente (nome e IP) con la dichiarazione precisa SQL che l'applicazione è in esecuzione è quello di essere nel punto in cui l'applicazione invia l'istruzione SQL dal processo. Questo è il vero SQL dopo l'applicazione completa il trattamento di ingresso. Nessun euristica, nessun falso positivo. Owl per IIS mira a esporre tutte le istruzioni SQL

Cosa c'è di nuovo in questa versione:.

La versione 1.3:

  • file di controllo comprendono ora il nome utente
  • integrazione con IBM Guardium di passare il nome utente dell'applicazione

Sistemi operativi supportati

Programmi simili

Altri software di sviluppo Gomby-Labs

Owl for Network
Owl for Network

30 Oct 16

Commenti a Owl for IIS

I commenti non trovato
Aggiungi commento
Accendere le immagini!