والبومة لIIS يحدد SQLs قبل تلك يجري تنفيذها في وقت التشغيل. هذا هو طريق تنفيذ وقت التشغيل التطبيق الذاتي الحماية (عرموش) وحدة.
وتطبيق الويب الخاص بك هو الحصول على المدخلات عن طريق معلمات الاستعلام وآخر. مدخلات يمكن أن تنتج البرمجة عبر الموقع، حقن SQL وغيرها من الخروقات الأمنية. ولكننا نعرف الآن WAF له حدود كما أنه لا يعمل في هذه العملية ولكن في الشبكة: 1. قد تكون بعض يعتمد على مفاتيح SSL عندما يتم تشفير حركة المرور. تلك التي لا يمكن التعامل مع هذه القضية DH 2. لا يمكن أن يكون متأكدا من المستخدم المسؤولة عن أي بيانات SQL كما في عملية قد تستخدم مستخدم آخر لتشغيل SQLs 3. URL متطورة العبث قد تخدع WAF 4. المطور وضع مستتر في تطبيق (تفعيلها من قبل المعلمة الاستعلام إضافية لتشغيل أخيرا الشيفرات الخبيثة مخصص). كيف يمكن WAF هذا الرقم؟
خذ المثال التالي: متصفح المستخدم يرسل هذا الطلب HTTP للحصول على قائمة المستخدمين في قسم HTTP: //applicationHost/getData.aspx كود = derpatment. ولكن يمكن للمستخدم أيضا تغيير يدويا إلى قيمة الرموز مختلفة مثل http: //applicationHost/getData.aspx كود = الشركة. وبالإضافة إلى ذلك يتيح القول أن SQLs تنفذها تجمع مؤشرات ترابط أن مصادقة استخدام بعض المستعمل عام. 1. أداة قاعدة البيانات لا يمكن أن أقول الذي نشأت الطلب. 2. WAF تحتاج إلى أن تكون متطورة لمعرفة ما هو الخطأ في عنوان URL.
الخيار الوحيد لديك لربط تفاصيل المستخدم (اسم وIP) مع بيان SQL المحدد أن تطبيق المنفذة هي التي يجري في النقطة حيث التطبيقات بإرسال عبارة SQL للخروج من العملية. هذا هو SQL الحقيقي بعد تطبيق استكمال معالجة المدخلات. لا الاستدلال، أي إيجابية كاذبة. البومة لIIS تهدف إلى فضح جميع البيانات SQL
ما هو الجديد في هذا الاصدار:.
الإصدار 1.3:
ملف التدقيق الآن تشمل اسم المستخدم
التكامل مع IBM Guardium لتمرير اسم مستخدم التطبيق
لم يتم العثور على التعليقات