IISロックダウンはどうなりましたか?
私がWindows環境を離れるずっと前に、「IISロックダウンツール」のようなものがありました。これはMicrosoftが無料で提供したものです。これは、IISインスタンスを適切にロックダウンし、いくつかの一般的なセキュリティテストを実行して、IIS/MS SQLの潜在的なセキュリティの弱点を教えてくれることを目的としていましたが、どうなりましたか?
これが今の私の状況です、
一度ハッキングされたWindows2003 SP2サーバー(MS SQL Server Web Edition 10.0)にアクセスできます。 asp Webサイトをホストしており、SQLインジェクションによって侵害されたと考えられます。これを10年前に書いた開発者は、読み取りと書き込みに異なるユーザーがいて、適切に構成されていなかったためにハッキングされたと述べています。
コードを修正することはほぼ不可能なので、今私はIISとSQLを可能な限り安全にする何かを探しています。
SQLインジェクションをスキャンするためにIISにインストールできるツール/モジュールの種類はありますか?
IISロックダウン?
これが私の小さな友達、UrlScanです。まさに私が探していたものです。
サイトがSQLインジェクションを介して攻撃された場合、それを修正できるのはコードを修正することだけです。
Microsoftによると、IISロックダウンは引き続き利用可能です:
- http://www.Microsoft.com/download/en/details.aspx?id=25064 (最も古い)
- http://support.Microsoft.com/kb/325864 (IIS 6)
- http://technet.Microsoft.com/en-us/library/dd450372(WS.10).aspx (Vista、Windows 7、Windows 2008の場合)
「アプリケーション層ファイアウォール」など、SQLインジェクションをスキャンするツールがあると主張しているツールがありますが、「これを購入してください」と言う製品はどれもよく知りません。あなたがホスティングプロバイダーを使用している場合、彼らはこのようなものを利用できるかもしれません。
IISのロックダウンは攻撃対象領域を減らしますが、既存の問題を軽減することはできません。