ID do artigo: 954476 - �ltima revis�o: sexta-feira, 27 de junho de 2008 - Revis�o: 1.1

A ferramenta Microsoft Source Code Analyzer for SQL Injection est� dispon�vel para encontrar vulnerabilidades na inje��o SQL em c�digos ASP

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Este artigo descreve a ferramenta Microsoft Source Code Analyzer for SQL Injection. � poss�vel usar essa ferramenta de an�lise de c�digo est�tico para encontrar vulnerabilidades na inje��o SQL em c�digos ASP.

Voltar para o in�cio

Mais Informa��es

A ferramenta Microsoft Source Code Analyzer for SQL Injection � uma ferramenta de an�lise de c�digo est�tico que o ajuda a encontrar vulnerabilidades em c�digos ASP (Active Server Pages). Este artigo descreve como usar a ferramenta, os avisos gerados por ela e as suas limita��es. Consulte o documento LEIA-ME da ferramenta para obter mais informa��es.

Voltar para o in�cio

Pr�-requisitos

Esta ferramenta de linha de comando requer o seguinte software:

.NET Framework 3,0

Voltar para o in�cio

Problemas de inje��o SQL em c�digos ASP

Se os dados fornecidos pelo usu�rio por meio das cole��es Request.Form ou Request.Querystring o c�digo ASP s�o usados para construir instru��es SQL sem nenhuma valida��o de dados, um invasor pode injetar comandos SQL em uma instru��o SQL e utiliz�-la para fins indevidos. Isso � normalmente conhecido como uma Vulnerabilidade de inje��o SQL de primeira ordem.

Se a entrada de um usu�rio � armazenada em um banco de dados usando uma p�gina ASP e, posteriormente, essa entrada do usu�rio � recuperada do banco de dados e usada para construir instru��es SQL din�micas em uma p�gina ASP diferente, um invasor pode injetar comandos SQL em uma instru��o SQL e utiliz�-la para fins indevidos. Isso � normalmente conhecido como uma Vulnerabilidade de inje��o SQL de segunda ordem.

Para reduzir essas vulnerabilidades, a melhor coisa a fazer � usar consultas SQL parametrizadas. Para obter mais informa��es sobre vulnerabilidades de inje��o SQL em ASP e sobre m�todos para reduzir essas vulnerabilidades, visite o seguinte site da Microsoft (em ingl�s):

http://msdn.microsoft.com/en-us/library/cc676512.aspx (http://msdn.microsoft.com/en-us/library/cc676512.aspx)

A ferramenta Microsoft Source Code Analyzer for SQL Injection o ajuda a encontrar alguns desses problemas de forma autom�tica.

Voltar para o in�cio

Uso

Esta se��o descreve como usar a ferramenta.

Sintaxe

A ferramenta usa a seguinte sintaxe:

msscasi_asp.exe [/nologo] [/quiet] [/suppress=n�m;..;n�m] [/GlobalAsaPath=caminho] [/IncludePaths=caminho;..;caminho] /Input=arquivo.asp

Descri��o

A ferramenta analisa o c�digo ASP procurando por vulnerabilidades de inje��o SQL.

Lista de par�metros

Recolher esta tabelaExpandir esta tabela

Par�metro	Op��o	Descri��o
/GlobalAsaPath	path	Exibe o caminho do arquivo Global.asa.
/IncludePaths	paths	Exibe caminhos separados por ponto e v�rgula para a resolu��o de arquivos inclu�dos usando caminhos virtuais.
/input	asp file	Exibe o caminho absoluto do arquivo ASP que precisa ser analisado.
/suppress warnings		Os avisos n�o s�o exibidos.
/nologo		O logotipo da ferramenta n�o � exibido.
/quiet		Os erros de an�lise n�o s�o exibidos. Ao usar as op��es /nologo e /quiet, somente as mensagens de aviso s�o exibidas.

Exemplos

MSSCASI_ASP /input="c:\source\logon.asp"

MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp"

MSSCASI_ASP /GlobalAsaPath="C:\source" /input="c:\source\webitems\display.asp" /IncludePaths="C:\virtualdirectory1;C:\virtualdirectory2"

MSSCASI_ASP /input="c:\source\webitems\display.asp" /suppress="80406;80407"

Analisar a sa�da

A ferramenta gera os seguintes avisos:

Recolher esta tabelaExpandir esta tabela

Aviso	Descri��o
80400	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de dados lidos do objeto Request sem qualquer objeto de entrada de valida��o. Esses avisos muito provavelmente representam bugs que precisam ser corrigidos.
80406	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de dados lidos do objeto Request onde a entrada de dados � passada atrav�s de algumas chamadas de fun��es desconhecidas que podem desenvolver valida��o de dados. Se nenhuma valida��o de dados � realizada dentro de uma chamada de fun��o, esses avisos muito provavelmente representam bugs. Ou ent�o, s�o falso positivos.
80403	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de dados provenientes de um servidor back-end. Se os dados s�o controlados por um usu�rio final atrav�s de outro site da Web, esses avisos muito provavelmente representam bugs. Entretanto, se os dados s�o confi�veis, esses avisos podem n�o representar bugs. � recomend�vel parametrizar essas consultas como parte de uma estrat�gia de defesa em n�veis.
80407	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de dados provenientes de um servidor back-end e que � passada atrav�s de algumas chamadas de fun��es desconhecidas. Se os dados s�o controlados por um usu�rio final atrav�s de outros sites da Web e nenhuma valida��o � realizada nesses dados, esses avisos muito provavelmente representam bugs.
80420	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de par�metros de fun��es. Esses avisos s�o gerados no escopo da fun��o. Portanto, se os valores de par�metro da fun��o v�m de fontes confi�veis, esses avisos s�o falsos positivos. Se os valores de par�metro s�o controlados por usu�rios finais, esses avisos muito provavelmente representam bugs. � poss�vel usar a anota��o __sql_pre_validated nos par�metros da fun��o para detectar se os usu�rios finais podem chegar at� esse c�digo.
80421	Uma poss�vel vulnerabilidade de inje��o SQL atrav�s de par�metros de fun��es, e par�metros de fun��es s�o passados atrav�s de algumas chamadas de fun��es desconhecidas que podem desenvolver valida��o de dados. � poss�vel usar a anota��o __sql_pre_validated nos par�metros da fun��o e __sql_validate na fun��o de valida��o para detectar se os usu�rios finais podem chegar at� esse c�digo.

De todos os avisos gerados pela ferramenta, o aviso 80400 � o que possui a maior probabilidade de estar representando bugs. Os desenvolvedores Web de ASP precisam corrigir esses bugs usando consultas parametrizadas. Para obter informa��es adicionais sobre como usar consultas SQL parametrizadas em c�digos ASP, visite o seguinte site da Microsoft (em ingles):

http://msdn.microsoft.com/en-us/library/cc676512.aspx (http://msdn.microsoft.com/en-us/library/cc676512.aspx)

Limita��es

A ferramenta possui as seguintes limita��es conhecidas:

A ferramenta entende somente o c�digo ASP que est� escrito em VBScript. Ela atualmente n�o analisa o c�digo do lado servidor que esteja escrito em qualquer outra linguagem, como Jscript.
Um novo analisador ASP foi desenvolvido como parte do processo de desenvolvimento desta ferramenta. Entretanto, esse analisador pode n�o cobrir todas as constru��es ASP. Portanto, � poss�vel que ocorram alguns erros de an�lise.

Voltar para o in�cio

Refer�ncias

Para baixar a ferramenta Microsoft Source Code Analyzer for SQL Injection, visite o seguinte site da Microsoft (em ingl�s):

http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA (http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA)

Para obter informa��es sobre documenta��o sobre diversas pr�ticas recomendadas, visite o seguinte site da Microsoft (em ingl�s):

http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx (http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx)

Para obter mais informa��es sobre como impedir a inje��o SQL em ASP, visite o seguinte site da Microsoft (em ingl�s):

http://msdn.microsoft.com/en-us/library/cc676512.aspx (http://msdn.microsoft.com/en-us/library/cc676512.aspx)

Para obter mais informa��es sobre ataques de inje��o SQL, visite o seguinte site da Microsoft (em ingl�s):

http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx (http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx)

Para obter mais informa��es sobre a ferramenta, visite o seguinte site da Microsoft (em ingl�s):

http://blogs.msdn.com/sqlsecurity (http://blogs.msdn.com/sqlsecurity)

Visite o seguinte site da Microsoft para discutir sobre a ferramenta no f�rum sobre seguran�a SQL da MSDN (em ingl�s):

http://forums.microsoft.com/msdn/ShowForum.aspx?ForumID=92&SiteID=1 (http://forums.microsoft.com/msdn/ShowForum.aspx?ForumID=92&SiteID=1)

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft ASP.NET 2.0

Voltar para o in�cio

atdownload kbexpertiseadvanced kbcode kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability KB954476

Voltar para o in�cio

Outros Recursos

Outros Sites de Suporte

Comunidades

This site in other countries/regions:

A ferramenta Microsoft Source Code Analyzer for SQL Injection est� dispon�vel para encontrar vulnerabilidades na inje��o SQL em c�digos ASP

Nesta p�gina

INTRODU��O

Mais Informa��es

Pr�-requisitos

Problemas de inje��o SQL em c�digos ASP

Uso

Sintaxe

Descri��o

Lista de par�metros

Exemplos

Analisar a sa�da

Limita��es

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo

Centros de suporte relacionados