Tietoturva nyt!

3.6.2008

Monien ASP- ja ASP.NET-sivustojen turvallisuudessa puutteita

Loppukeväästä lisääntynyt SQL-injektiohaavoittuvuuksien hyväksikäyttö jatkuu aktiivisena. Hyökkäykset ovat kohdistuneet erityisesti ASP- ja ASP.NET-tekniikoilla toteuttuihin sivustoihin.

CERT-FI:n tietoon on tullut suomalaisia sivustoja, joille on ujutettu haitallista ohjelmakoodia. Sivustoilla vieraileminen voi johtaa haittaohjelmatartuntaan.

Sivustojen ylläpitäjien tulee tarkistaa palveluidensa turvallisuus. Microsoft on julkaissut ohjeita ASP- ja ASP.NET-tekniikoilla toteutettujen palveluiden turvaamiseksi. Palvelujen käyttäjien tulee osaltaan huolehtia siitä, että tietokoneen käyttöjärjestelmän ja selaimen päivitykset sekä käytetty virustorjuntaohjelmisto ovat ajan tasalla.

Lisätietoa

• Tietoturva nyt! 17.5.2008
• SQL-injektioiden estäminen ASP-sivuilla (Microsoft)
• SQL-injektioiden estäminen ASP.NET-sivuilla (Microsoft)
• http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx
• http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx