Ola,
Creio que seja uma preocupação de todos os ataques de SQL Injection nos diversos tipos de aplicações, mas existem algumas formas de bloquear este tipo de ataque, uma delas ‘e com o URL Rewrite utilizando expressão regular, o código abaixo deve ser colocado em um arquivo web.config.
<rewrite>
<rules>
<rule name=”Filter SQL injection” stopProcessing=”true”>
<match url=”.*” />
<conditions>
<add input=”{REQUEST_URI}” pattern=”[dD][\%]*[eE][\%]*[cC][\%]*[lL][\%]*[aA][\%]*[rR][\%]*[eE][\s\S]*[@][a-zA-Z0-9_]+[\s\S]*[nN]*[\%]*[vV][\%]*[aA][\%]*[rR][\%]*[cC][\%]*[hH][\%]*[aA][\%]*[rR][\s\S]*[eE][\%]*[xX][\%]*[eE][\%]*[cC][\s\S]*” />
</conditions>
<action type=”AbortRequest” />
</rule>
</rules>
</rewrite>
Anúncios
Olá, bom dia! Muito obrigado pela dica!
Eu já fiz essa modificação no meu web.config e agora gostaria de testar se a aplicação realmente está protegida. Como posso fazer isso?
Obrigado pela atenção!
Existem várias ferramentas para vocês testar, por exemplo: Nessus, Accunetix, SQLMap, etc..
Abs