Давным-давно, до того, как я покинул среду Windows, существовала такая вещь, как «средство блокировки IIS» - то, что Microsoft предоставляла бесплатно. Он был предназначен для надежной блокировки вашего экземпляра IIS и выполнения некоторых общих тестов безопасности, а также для того, чтобы рассказать вам о потенциальных слабостях безопасности вашего IIS / MS SQL, что с этим случилось?
Вот моя ситуация прямо сейчас,
У меня есть доступ к серверу Windows 2003 SP2 (MS SQL Server Web Edition 10.0), который однажды был взломан. На нем размещен сайт asp, и мы думаем, что он был взломан с помощью SQL-инъекции. Разработчики, написавшие это десять лет назад, говорят, что там были разные пользователи для чтения и записи, и что он был неправильно настроен, поэтому его взломали.
Исправить код практически невозможно, поэтому сейчас я ищу что-то, что сделало бы IIS и SQL максимально безопасными.
Есть ли какой-то инструмент / модуль, который я мог бы установить в IIS для сканирования SQL-инъекций?
Что-нибудь вроде блокировки IIS?
Если сайт атаковали с помощью SQL Injection, единственное, что можно исправить, - это исправить код.
Вот и мой маленький друг, UrlScan, именно то, что я искал
Согласно Microsoft, IIS Lockdown все еще доступен:
Есть инструменты, претендующие на звание «брандмауэры прикладного уровня» или что-то в этом роде, которые будут сканировать на предмет внедрения SQL, но я не знаком ни с одним продуктом, чтобы сказать «иди и купи это». Если вы пользуетесь услугами хостинг-провайдера, у них может быть что-то подобное.
Блокировка IIS уменьшит поверхность атаки, но не решит существующие проблемы.