IIS için baykuş SQLS'yi tanımlayın ve uygulama kullanıcı adını IBM Guardium'a iletin.
Şimdi İndirin

IIS için baykuş Sıralama ve Özet

IIS için baykuş Etiketler

IIS için baykuş Açıklama

IIS için baykuş, bunlar çalışma zamanında yürütüldükten hemen önce SQL'leri tanımlar. Bu, çalışma zamanı uygulaması kendi kendine korunma (törpü) modülünü uygulayarak. Web uygulamanız, sorgu ve posta parametreleri yoluyla giriliyor. Giriş, site scripting, SQL enjeksiyonu ve diğer güvenlik ihlalleri üretebilir. Şimdiye kadar WAF'nin işlemde çalışmadığı gibi sınırlamaları olduğunu biliyoruz, ancak ağda: 1. Bazıları, trafik şifrelendiğinde SSL tuşlarına bağlı olabilir. Bunlar DH durumunu idare edemez. 2. SQL ifadelerinin, SQL'leri çalıştırmak için farklı bir kullanıcı kullanabileceği hangi kullanıcının sorumlu olduğundan emin olamaz. 3. Sofistike URL kurcalama WAF'u kandırabilir. (Sonunda özel kötü amaçlı kodu çalıştırmak için ekstra sorgu parametresi tarafından etkinleştirilir). WAF bunu nasıl şekillendirebilir? Aşağıdaki örneğe alın: Kullanıcı tarayıcısı, bu http isteğini, bölümündeki kullanıcıların bir listesini almak için göndermektedir: //ApplicationHost/GetData.aspx? Kod = Derpatment. Ancak kullanıcı ayrıca http: //ApplicationHost/GetData.aspx? CoD = Company gibi farklı bir kod değerine manuel olarak da değiştirebilir. Buna ek olarak, SQL'lerin, bazı genel kullanıcı kullanılarak kimliği doğrulanan bir iplik havuzu tarafından yürütüldüğünü söyleyelim. 1. Veritabanı aracı isteği kimin ortaya çıktığını söyleyemez. 2. WAF, bir şeyin URL'sinde yanlış olduğunu bulmak için sofistike olmalısınız. Kullanıcı detaylarını (İsim ve IP), uygulamanın yürütüldüğü tam SQL ifadesiyle ilişkilendirmeniz gereken tek seçenek Uygulamanın SQL ifadesini işlemden gönderdiği noktada. Uygulama giriş işlemesini tamamladıktan sonra gerçek SQL budur. Sezgisel değil, yanlış pozitif yok. IIS için baykuş, tüm SQL ifadelerini ortaya çıkarmayı hedefliyor.

IIS için baykuş İlgili Yazılım