數(shù)據(jù)庫安全軟件廠商Sentrigo Inc.發(fā)布了新的開源fuzzing工具FuzzOr，用于識別Oracle數(shù)據(jù)庫軟件應(yīng)用中的漏洞。Sentrigo的創(chuàng)始人之一兼首席技術(shù)官Slavik Markovich說，有了FuzzOr，Sentrigo即將創(chuàng)建一款可以允許數(shù)據(jù)庫管理員和程序員測試PL/SQL應(yīng)用中的安全漏洞的工具。

Markovich說，其它的漏洞評估工具有代表性的修復(fù)一系列錯誤，而FuzzOr是動態(tài)的，因為它沒有于設(shè)置的清單。

Markovich說：“（FuzzOr）式不同的，因為我認為沒有其它可以做PL/SQL項目的工具了。FuzzOr掃描特殊的代碼并分析（代碼）尋找漏洞?！?/P>

Fuzzing：

SQL注入攻擊新趨勢警報研究人員：研究人員正在發(fā)現(xiàn)SQl注入攻擊的新趨勢，表明攻擊者發(fā)現(xiàn)攻擊新目標(biāo)很容易。

Fuzzing應(yīng)該是安全軟件開始程序的一部分嗎？fuzzing是一種常見的軟件測試方法，不能是你唯一的漏洞評估技術(shù)。Fuzzing可以有效地識別跨站腳本（XSS）漏洞嗎？fuzzing可以找到軟件中的漏洞，但是測試程序不能發(fā)現(xiàn)每個漏洞。Ed Skoudis解釋了當(dāng)查找跨站腳本漏洞的時候需要的其它工具。

Oracle的安全專家，也是Oracle的安全網(wǎng)站PeteFinnigan.com的主管Pete Finnigan說FuzzOr是一款有用的工具，因為這是唯一免費分析PL/SQL中漏洞的實用工具。Finnigan說：“FuzzOr擁有優(yōu)勢，因為有了FuzzOr，就不需要查看軟件代碼再分析了，不然你就要分解它，使其做不同的事情。”Finnigan說，數(shù)據(jù)庫管理員可能不能馬上理解FuzzOr，但是它的使用相當(dāng)簡單，而且有簡單的使用方法。

他說：“你可以在一個項目或者單獨的一段代碼上運行 FuzzOr，所以它的運行非常簡單。（它）告訴用戶哪些代碼和參數(shù)容易受到工具，所以可以查看代碼，并查找如何修復(fù)?！?/P>

Finnigan說，這個工具在檢測與SQL注入和緩沖器負荷錯誤相關(guān)的漏洞方面也很理想，因為他們是使用PL/SQL編寫的最常見的漏洞。Finnigan說，F(xiàn)uzzOr檢測錯誤所用的時間是和它所運行的程序數(shù)量呈比例的，但是這種工具“相當(dāng)快，不需要整晚都在運行?！?/P>

Finnigan它不能在產(chǎn)品內(nèi)部運行，因為工具的工能不只是讀取。產(chǎn)品系統(tǒng)中使用的工具應(yīng)該只能讀取，防止不期望的變化，因此，這和FuzzOr是矛盾的。

　　Markovich說，這種工具不能修正問題，它只是告訴用戶錯誤出在哪里。Markovich說，它并不作漏洞評估，檢測或者加密。

　　FuzzOr是免費的開源工具，也就是說許可證時GPL，而且只要用戶擁有許可證，就允許用戶改變或者增加代碼。

　　Finnigan說所有的DBA都可以在內(nèi)部嘗試和使用的。

　　Finnigan說：“FuzzOr是免費的，可擴展的，而且是用腳本語言編寫的，軟件代碼是可以閱讀的——沒有隱藏的東西，你可以看到它的工作方式?！?/P>

【編輯推薦】