Bescherming tegen SQL injection aanvallen op jouw website is nu standaard inbegrepen in alle hostingpakketten. Deze bescherming is beperkt, maar je kunt het op een per website basis uitbreiden. Lees hier meer over deze instelling.

In ons ASP FAQ-artikel hebben we al een hoofdstuk gewijd aan het tegengaan van SQL injection (SQLi) en Cross Site Scripting (XSS). Maar toegegeven: het blijft ingewikkelde materie, vooral omdat er maar één (1) goede oplossing is tegen SQL injectie: prepared statements. Helaas heeft dat vaak grote code-wijzigingen tot gevolg.

Hierom zijn er nu beveiligingsfilters actief op onze Linux- en Windows Server webservers, om dit soort SQL-injectie-aanvallen tegen te gaan.

Als je met één van deze beveiligingsfilters problemen ondervindt, laat dat dan gerust weten aan onze klantenservice. We helpen je graag verder.

Link naar deze kopLinux ModSecurity regels voor websitebeveiliging

ModSecurity is web application firewall (WAF) voor Apache. De standaard regels en instellingen van dit product zijn actief, evenals één specifieke regel gericht op SQL-injection. Technische informatie over deze OWASP ModSecurity Core Rule Set (CRS) vind je in de officiële repository van SpiderLabs op GitHub.

Link naar deze kopIIS Request Filtering regels tegen SQL injection

Om SQL injection op Windows Server IIS gehoste websites tegen te gaan, hebben we nu een standaard IIS Request Filtering Filtering Rule gemaakt. Dit filter houdt een aantal veelgebruikte vormen van SQL injection tegen. Dit kan gevolgen hebben voor het gedrag van jouw website en de ervaring van bezoekers.

Zodra een regel geactiveerd wordt door een HTTP-verzoek stuurt de webserver een 404 Not Found terug. Dat zou verwarring kunnen veroorzaken.

De ingestelde regels zijn:

  • CHAR(
  • -- (incl. de spaties)

Zodra één van deze tekenreeks letterlijk in de URL voorkomt, dan wordt deze geweigerd. Een voorbeeld is

/index.php
  tmpl=component&print=11111111111111%27%20UNION%20SELECT%20
  CHAR(45,120,49,45,81,45)

Link naar deze kopIIS Request Filtering regels uitbreiden

Als je in deze materie helemaal thuis bent, dan kun je de regels uitbreiden. Log in met Internet Information Services Manager (IIS Manager):

  • Ga naar Request Filtering en vervolgens het tabblad Rules
  • Klik op Add Filtering Rule… in de Actions pane
    • Name: geef iedere regel een unieke naam
    • Scan url: vink aan om de regel van toepassing te laten zijn op een URL
    • Scan query string: vink aan om de regel van toepassing te laten zijn op een query string (alles achter de ? in een URL)
    • Scan Headers: welke HTTP header moet gescand worden
    • Applies To (File Extension): voor welke bestandsextensies geldt de regel? Indien leeg gelaten geldt het voor alle requests.
    • Deny Strings: de letterlijke string om te blokkeren (niet hoofdlettergevoelig)
IIS Request Filtering Filter Rule om SQL sleep-aanvallen te stoppen

IIS Request Filtering Filter Rule om SQL sleep-aanvallen te stoppen

Je vindt alle informatie over instellingen die je kunt maken op Microsoft Docs. Test hier goed mee, want:

In het voorbeeld van de schermafbeelding, hierboven, worden alle HTTP-verzoeken met daarin sleep( geblokkeerd. Dit gaat sleep-aanvallen op SQL-databaseservers tegen. Maar het blokkeert mogelijk ook een geldige URL van een beddenzaak-/webshop. Bijvoorbeeld als er “sleep(pillow)” in de link en adresbalk staat.

Wat vind jij van dit antwoord?

Bedankt voor je feedback!

Er is een fout opgetreden. Probeer het later opnieuw.