Owl para sa IIS Kinikilala SQLs lamang bago ang mga ito ay ina-pinaandar sa runtime. Iyon ay sa pamamagitan ng pagpapatupad Runtime Application Self-Protection (Rasp) module.
Ang iyong web application ay nakakakuha ng input sa pamamagitan ng tanong at post na mga parameter. input ay maaaring makabuo ng cross-site scripting, SQL iniksyon at iba pang seguridad breaches. Sa pamamagitan ng ngayon alam namin WAF ay may mga limitasyon na ito ay hindi tatakbo sa proseso ngunit sa network: 1. Ang ilan ay maaaring maging nakasalalay sa SSL key kapag ang trapiko ay naka-encrypt. Yaong hindi maaaring panghawakan ang DH kaso 2. Hindi ito maaaring maging sigurado kung saan ang user ay may pananagutan para sa kung saan SQL pahayag bilang ang proseso ay maaaring gumamit ng ibang user upang patakbuhin ang SQLs 3. Sopistikadong URL pakikialam maaaring lokohin ang WAF 4. Developer pagtatakda ng isang backdoor sa application (aktibo sa pamamagitan ng dagdag na parameter ng query upang sa wakas tumakbo dedikado malisyosong code). Paano WAF maaaring malaman na out?
Dalhin ang mga sumusunod na halimbawa: user browser ay nagpapadala ito HTTP kahilingan upang makakuha ng isang listahan ng mga gumagamit sa departamento http:? //applicationHost/getData.aspx Code = derpatment. Ngunit ang user ay maaari ring baguhin nang manu-mano sa isang iba't ibang mga halaga ng code tulad http:? //applicationHost/getData.aspx Code = kumpanya. Bilang karagdagan sa na nagbibigay-daan sa sabihin na ang SQLs ay naisakatuparan sa pamamagitan ng isang thread pool na napatotohanan gamit ang ilang mga generic user. 1. Database kasangkapan ay hindi nalalaman kung sino ang nagpasimula ng kahilingan. 2. WAF kailangang maging sopistikadong upang malaman kung ang isang bagay ay mali sa URL.
Ang tanging pagpipilian na mayroon ka upang maiugnay mga detalye ng gumagamit (pangalan at IP) na may eksaktong SQL pahayag na ang application ay Isinasagawa ay sa pamamagitan ng pagiging sa punto kung saan ang mga aplikasyon ay nagpapadala ang SQL pahayag sa labas ng proseso. Iyon ay ang tunay SQL matapos ang application makumpleto ang input processing. No heuristics, walang false positive. Owl para sa IIS ay aiming upang ilantad ang lahat SQL pahayag
Ano ang bago sa ito release:.
Bersyon 1.3:
- audit file na ngayong magsama ng user name
- integration sa IBM Guardium upang pumasa application user name
Mga Komento hindi natagpuan