Microsoft a récemment publié un conseil de sécurité évoquant la multiplication des attaques par tentatives d'injection SQL sur les sites ASP et ASP .Net mais "qui ne suivent pas les recommandations de développement pour sécuriser les applications web" s'empresse de préciser l'éditeur de Redmond. Il est encore rappelé que "lorsqu'une attaque par injection SQL réussit, l'attaquant peut compromettre les données de la base et peut potentiellement exécuter du code à distance".

Aucune faille de sécurité n'est évoquée dans le document de Microsoft qui, sans doute à cause de l'image de vulnérabilité qui la poursuit comme son ombre, veut néanmoins aider les développeurs Web. Pour l'occasion, Microsoft s'associe à HP afin de proposer gratuitement HP Scrawl, un outil de détection des vulnérabilités d'un site. HP Scrawl permet de détecter les pages potentiellement vulnérables aux injections SQL simplement en indiquant une adresse Web.

Microsoft propose encore UrlScan, un filtre de requête HTTP qui vient dans sa nouvelle version 3.0, ainsi que Microsoft Source Code Analyzer for SQL Injection, un outil d'analyse de la conformité au niveau de la sécurité du code ASP avec assistance pour combler les failles détectées.

Lien: Pour en savoir plus et accéder aux outils