| | Búho para iisIdentifique SQLS y Pase el nombre de usuario de la aplicación a IBM Guardium. |
| Descargar ahora | |
Búho para iis Clasificación y resumen
Anuncio publicitario
- Precio:
- Free
- Nombre del editor:
- By Gomby-Labs
- Sistemas operativos:
- Windows, Windows Server 2008, Windows 7
- Requerimientos adicionales:
- None
- Descargas totales:
- 11
Búho para iis Etiquetas
Búho para iis Descripción
El búho para IIS identifica SQLS justo antes de que se estén ejecutando en tiempo de ejecución. Es decir, al implementar el módulo de autoprotección de la aplicación de tiempo de ejecución (RASP). Su aplicación web está recibiendo entrada a través de consulta y parámetros POST. La entrada puede producir scripts de sitio cruzado, inyección de SQL y otras violaciones de seguridad. A estas alturas, sabemos que WAF tiene limitaciones, ya que no se ejecuta en el proceso, sino en la red: 1. Algunos pueden depender de las teclas SSL cuando el tráfico está encriptado. Esos no pueden manejar el caso DH 2. No puede estar seguro de qué usuario es responsable de las declaraciones SQL, ya que el proceso puede usar un usuario diferente para ejecutar el SQLS 3. Sofisticó la manipulación de la URL puede engañar al WAF 4. Desarrollador que configura una puerta trasera en la aplicación (activado por el parámetro de consulta adicional para finalizar finalmente el código malicioso dedicado). ¿Cómo puede resolver la WAF? Tomar el siguiente ejemplo: el navegador de usuario está enviando esta solicitud HTTP para obtener una lista de usuarios en el departamento http: //applicationhost/getdata.aspx? Código = DIRAPATMENTO. Pero el usuario también puede cambiar manualmente en un valor de código diferente como http: //applicationhost/getdata.aspx? Código = empresa. Además de eso, digamos que los SQLS están siendo ejecutados por un grupo de hilos que se autenticó utilizando un usuario genérico. 1. La herramienta de base de datos no puede decir quién originó la solicitud. 2. Debe ser sofisticado para descubrir que algo está mal con la URL. La única opción que tiene que correlacionar los datos del usuario (nombre e IP) con una declaración exacta de SQL de que la aplicación está ejecutando es por ser En el punto donde la aplicación está enviando la declaración SQL fuera del proceso. Ese es el SQL real después de que la aplicación complete el procesamiento de entrada. No hay heurísticas, sin falso positivo. Búho para IIS está apuntando a exponer todas las afirmaciones de SQL.
Búho para iis Software relacionado
Cambiador de ubicación Fonegeek iOS
Spoof iOS Dispositivo GPS Ubicación, pausa o simula el movimiento natural y juega a los juegos basados en la ubicación. ...
