Microsoft, HP ra bắt công cụ bảo mật website

Ngày 24/6, Microsoft và HP đồng loạt tung ra các công cụ có thể giúp nhà quản trị và phát triển website phát hiện lỗi SQL Injection.

"Tổng cộng đợt này có 3 công cụ được phát hành. Hai của Microsoft và một của HP. Mục tiêu của các công cụ này là giúp nhà quản trị và phát triển website phát hiện lỗi bảo mật đang rất được tin tặc ưa chuộng để tấn công bắt cóc các website hợp pháp," Mark Miller - Giám đốc quản lý sản phẩm bộ phận Trustworth Computing của Microsoft - cho biết.

Có thể thấy động thái nói trên của Microsoft và HP là muốn nhằm đối phó với tình trạng gia tăng trong số lượng các website bị tấn công thông qua lỗi SQL Injection, đặc biệt là trong 6 tháng đầu năm nay. Trong số những website bị tấn công có cả những website thuộc về cơ quan chính phủ, Liên hợp quốc và một số công ty hàng đầu thế giới ...

Theo con số thống kê trong bản báo cáo mới nhất của hãng bảo mật F-Secure, ước tính số lượng các website bị tấn công SQL Injection từ đầu năm đến nay đã lên tới con số 2-3 triệu trang.

Trước đây, Microsoft thường phủ nhận rằng lỗi SQL Injection phát sinh từ chính lỗi bảo mật trong phần mềm của hãng này. Thay vào đó, hãng không ngừng khuyến cáo nhà phát triển và quản trị website nên tuân thủ theo hướng dẫn mà hãng đưa ra để bảo vệ website.

Ông Miller khẳng định: "Microsoft nhận thấy số lượng các vụ tấn công SQL Injection đã tăng lên quá nhanh. Chính vì thế mà chúng tôi muốn cung cấp cho khách hàng những công cụ và hướng dẫn cần thiết nhằm giúp họ bảo vệ website trước những cuộc tấn công như thế".

Chi tiết công cụ

Công cụ đầu tiên của Microsoft là UrlScan - một sản phẩm của nhóm các nhà phát triển ứng dụng IIS (Internet Information Services). Ông Wade Hilmo - chuyên gia cao cấp của nhóm IIS - cho biết thực chất đây là phiên bản nâng cấp của một công cụ tương tự đã được phát hành từ năm 2003.

UrlScan có thể quét các chuỗi yêu cầu (query string) chứ không chỉ riêng các URL giúp lọc ra các chuỗi nguy hiểm có thể bị lợi dụng để tấn công SQL Injection. "Có khi chỉ do thiếu một dấu nào đó mà website trở nên hoàn toàn mở toang cửa trước con mắt của tin tặc," ông Hilmo cho biết.

"UrlScan có thể chặn được mọi hình thức tấn công đã được phát hiện tính đến thời điểm này".

Bạn đọc quan tâm có thể tham khảo hướng dẫn sử dụng và tải về công cụ UrlScan tại đây.

Công cụ thứ hai có tên SQL Source Code Analysis Tool - sản phẩm của nhóm phát triển SQL Server. Công cụ này có khả năng phân tích mã nguồn ASP và lôi ra ánh sáng những chỗ mắc lỗi. Các website lập trình bằng ASP là một trong những mục tiêu hàng đầu bị tấn công SQL Injection trong nửa đầu năm nay.

Bala Neerumalla - chuyên gia phát triển phần mềm bảo mật thuộc SQL Server - cho biết công cụ chỉ có khả năng phát hiện lỗi còn phần khắc phục lỗi thì nhà phát triển và quản trị website phải tự thực hiện.

Bạn đọc có thể tìm hiểu thêm thông tin về SQL Source Code Analysis Tool tại đây và tải về công cụ tại đây.

Trong khi đó, HP tung ra công cụ SQL Injector and Crawler. Tương tự như công cụ "Fuzzers" thường được sử dụng để phát hiện các lỗi bảo mật phần mềm, công cụ của HP cũng có khả năng phân tích chi tiết website và lôi ra những chỗ có thể bị lợi dụng để tấn công SQL Injection.

Bạn đọc có thể tham khảo thêm thông tin và tải về công cụ này tại đây.

SQL Injection là gì?

SQL injection là một kỹ thuật tấn công khai thác lỗi bảo mật phát sinh trong lớp cơ sở dữ liệu của ứng dụng web.

Nếu khai thác thành công lỗi này tin tặc có thể đột nhập trực tiếp vào cơ sở dữ liệu của website mà không cần phải qua các bước chứng thực đăng nhập cho phép chúng đoạt quyền quản trị website chiếm lĩnh tài khoản quản trị hoặc chèn thêm những nội dung mong muốn lên trang web....

Hoàng Dũng - (Computerworld, Techworld)