Owl for IIS

Logiciel capture d'écran:
Owl for IIS
Détails logiciels:
Version: 1.3 Mise à jour
Date de transfert: 10 Jan 17
Développeur: Gomby-Labs
Licence: Gratuit
Popularité: 55
Taille: 925 Kb
Télécharger

Rating: 2.0/5 (Total Votes: 1)

Owl pour IIS identifie SQLs juste avant ceux qui sont exécutés en runtime. C'est en implémentant le module d'auto-protection d'application Runtime (RASP).

Votre application web obtient l'entrée via les paramètres de requête et de post. L'entrée peut produire des scripts entre sites, l'injection SQL et d'autres violations de sécurité. À l'heure actuelle, nous savons WAF a des limitations car il ne fonctionne pas dans le processus, mais dans le réseau: 1. Certains peuvent être dépendants des clés SSL lorsque le trafic est chiffré. Ceux qui ne peuvent pas manipuler le cas DH 2. Il ne peut pas être sûr que l'utilisateur est responsable de quelles instructions SQL que le processus peut utiliser un utilisateur différent pour exécuter les SQLs 3. Sophisticated URL falsification peut tromper le WAF 4. Développeur de définir une porte dérobée dans l'application (Activé par un paramètre de requête supplémentaire pour finalement exécuter du code malveillant dédié). Comment WAF peut comprendre cela?

Prenez l'exemple suivant: le navigateur utilisateur envoie cette requête HTTP pour obtenir une liste d'utilisateurs dans le département http: //applicationHost/getData.aspx? Code = derpatment. Mais l'utilisateur peut également changer manuellement en une valeur de code différente comme http: //applicationHost/getData.aspx? Code = company. En plus de cela, disons que les SQL sont exécutés par un pool de threads qui est authentifié à l'aide d'un certain utilisateur générique. 1. Outil de base de données ne peut pas dire qui a créé la demande.

La seule option que vous avez pour corréler les détails de l'utilisateur (nom et IP) avec l'instruction SQL exacte que l'application est en cours d'exécution est en étant Au point où l'application envoie l'instruction SQL hors du processus. C'est le vrai SQL après que l'application complète le traitement d'entrée. Pas d'heuristique, pas de faux positif.

Quoi de neuf dans cette version:

Version 1.3:

  • le fichier d'audit inclut maintenant le nom d'utilisateur
  • intégration avec IBM Guardium pour passer le nom d'utilisateur de l'application

10 Jan 17 Dans Un logiciel de sécurité, Logiciel de sécurité de l'entreprise

Systèmes d'exploitation pris en charge

Logiciel similaire

L0phtCrack Password Auditor
L0phtCrack Password Auditor

2 Oct 16

PB Screen Lock
PB Screen Lock

26 Jan 15

FactotumNOW Web Checking and Replication
FactotumNOW Web Checking and Replication

23 Sep 15

JiJi Self Service Password Reset
JiJi Self Service Password Reset

21 Jan 15

D'autres logiciels de développeur Gomby-Labs

Owl for Network
Owl for Network

30 Oct 16

Commentaires à Owl for IIS

Commentaires non trouvées
Ajouter un commentaire
Tourner sur les images!
Recherche par catégorie
Logiciel populaire