Core Security Technologies公司的研究員開(kāi)發(fā)了一種新的自動(dòng)黑客技術(shù)，能讓攻擊者輕易地找到和攻擊SQL注入漏洞，還有攻擊者常用的代碼錯(cuò)誤。以下就是對(duì)防御SQL注入攻擊的詳細(xì)內(nèi)容的描述。

由Core researcher Sebastian Cufre組織的研究可以幫助漏洞查找者提高發(fā)現(xiàn)SQL注入漏洞的效率，這樣以來(lái)可以在攻擊者利用它們之前就將漏洞修復(fù)好。Cufre不能參加這一會(huì)議，所以CoreLabs的研究員Fernando Federico Russ在2010年的CanSecWest應(yīng)用安全會(huì)議上演示了這一黑盒技術(shù)。

Russ說(shuō)：“這有助于自動(dòng)查找和攻擊SQL注入漏洞，最棒的是有一個(gè)SQL提取功能，能讓你在后端數(shù)據(jù)庫(kù)上直接執(zhí)行SQL語(yǔ)句。”

SQL注入一直是種流行的攻擊技術(shù)，因?yàn)榇a錯(cuò)誤會(huì)讓攻擊者獲取Web應(yīng)用程序的訪問(wèn)權(quán)，這在許多網(wǎng)站中都很常見(jiàn)。攻擊者能夠在Web表格中添加結(jié)構(gòu)化的查詢語(yǔ)言(SQL)來(lái)測(cè)試數(shù)據(jù)庫(kù)，以檢查結(jié)果數(shù)據(jù)庫(kù)的調(diào)試錯(cuò)誤并獲取訪問(wèn)權(quán)限。

黑客工具包讓攻擊者能更容易地攻擊和危害網(wǎng)站，并將網(wǎng)站上建立的惡意代碼傳播給網(wǎng)站訪問(wèn)者。企業(yè)已采取措施，減少Web應(yīng)用程序中的SQL注入代碼錯(cuò)誤。

Russ的技術(shù)研究顯示了黑客測(cè)試技術(shù)如何被應(yīng)用來(lái)高效查找SQL注入錯(cuò)誤。黑盒測(cè)試為獲取黑客動(dòng)向采取了外部方式來(lái)測(cè)試軟件。它讓軟件測(cè)試員理解黑客在受危害的機(jī)器上可能采取的攻擊類別。

Russ說(shuō)：“我們正努力掌握漏洞知識(shí)和推斷串注入點(diǎn)的標(biāo)準(zhǔn)測(cè)試。”

這一技術(shù)消除了自動(dòng)SQL注入漏洞評(píng)估過(guò)程中的誤報(bào)情況。這一方法還可自動(dòng)生成攻擊代碼。Core計(jì)劃在它的網(wǎng)站上發(fā)布相應(yīng)的研究論文。

目前，網(wǎng)站站長(zhǎng)們有很多方法來(lái)測(cè)試他們網(wǎng)站上的代碼錯(cuò)誤。很多靜態(tài)和動(dòng)態(tài)代碼分析工具能夠用來(lái)查找可導(dǎo)致SQL注入的代碼錯(cuò)誤，盡管專家們稱這些工具越來(lái)越先進(jìn)，但其中的大多數(shù)工具還是存在很大的誤差和很高的誤報(bào)率。2008年的時(shí)候，SQL注入攻擊非常嚴(yán)重，微軟曾在公告中指出了幾款可消除開(kāi)發(fā)過(guò)程中錯(cuò)誤的工具。

另外，組織機(jī)構(gòu)可以限制用戶的訪問(wèn)權(quán)限，在應(yīng)用程序全面投入運(yùn)營(yíng)之前，通過(guò)應(yīng)用靜態(tài)代碼分析來(lái)檢測(cè)錯(cuò)誤，以改進(jìn)軟件開(kāi)發(fā)過(guò)程。而且可在SQL串導(dǎo)致底層數(shù)據(jù)庫(kù)崩潰時(shí)，減少顯示給用戶的調(diào)試錯(cuò)誤。

【編輯推薦】

1. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用
2. CIO喜訊：網(wǎng)絡(luò)安全保障有偏方
3. 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系的不安全因素和策略
4. 應(yīng)對(duì)五大網(wǎng)絡(luò)安全威脅，你準(zhǔn)備好了嗎？
5. 360發(fā)布《2011上半年中國(guó)網(wǎng)絡(luò)安全報(bào)告》