Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Microsoft WPL la protection temps réel ASP.NET contre les attaques XSS et les injections SQL, LDAP, XPATH et CSS

Par Rédaction, secuobs.com
Le 21/10/2009


Résumé : Microsoft Web Protection Library se base sur les prochaines versions d'Anti-XSS, SRE et SQL Detect afin de fournir une solution globale de protection temps réel pour les applications Web se basant sur ASP.NET. Elle vise entre autres à contrer les attaques XSS et les injections SQL, LDAP, XPATH et CSS.



Les prochaines versions de la librairie Anti-XSS ( lien ) et de SRE ( Security Runtime Engine - lien ) seront bientôt disponibles au sein d'un nouvel outil, Microsoft Web Protection Library ( WPL - lien ). Cette évolution peut s'expliquer de par le fait que WPL devrait dès à présent aller au delà des seules protections XSS ( lien ) offertes par les anciennes versions de d'Anti-XSS et de SRE.

L'objectif de WPL serait en fait d'offrir ici une solution de sécurisation globale des applications web à travers un ensemble de protections spécifiques aux attaques web les plus communes. Dans une optique de simplification, elles ne devraient d'ailleurs nécessiter que quelques configurations minimales avant la mise en activité. A savoir que les anciennes versions d'Anti-XSS offraient déjà une protection temps réel avec SRE et ne nécessitait pas de modification des applications à protéger.

WPL se baserait donc sur cette approche pour fournir des protections à l'encontre d'attaques comme les injections SQL ( lien ), le Session Hijacking ( lien ), le ClickJacking ( lien ), la dégradation HTTPS/HTTP ( lien ) et bien d'autres. Les librairies d'encodage HTML serait par ailleurs étendue afin de détecter les injections LDAP ( lien ), CSS ( lien ) et XPATH ( lien ). La protection SQL serait quant à elle supportée par l'existant SQL Detect ( lien ).

Intégré à SRE, l'analyseur SQL devrait lui être capable d'identifier l'ensemble des requêtes SQL valides afin de détecter la présence d'éventuelles attaques par injections SQL et les contrer. WPL devrait ainsi se baser sur deux composantes principales, à savoir les libraires d'encodage d'un coté et SRE de l'autre. Ce dernier se comporterait dès lors comme un chargeur pour les librairies afin de leurs fournir les capacités de détection temps réel.

Les attaques par injections CSS devraient pouvoir être identifiées dès la version 1.0 de WPL, au même titre que les injections LDAP et SQL. Les autres types de protection étant censées être ajoutés dans les prochaines versions. WPL sera de plus accompagné d'une interface graphique facilitant l'édition des fichiers de configuration, alors que la nouvelle version d'Anti-XSS devrait présenter de meilleures performances de détection pour le Cross Site Scripting.

Finalement, SRE sera accompagné d'une API facilitant le développement de librairies personnelles afin de protéger les sites ASP.NET ( lien ). Il serait par ailleurs intéressant à terme de comparer les performances de détection de WPL et de GreenSQL-FW ( lien ) pour les injections SQL en temps réel, mais également celles de WPL Anti-XSS et d'OWASP Scrubbr ( lien ) pour les XSS présents dans les contenus persistants.

Source : Compte Twitter de Jeremiah Grossman ( lien )