SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。
最近几个月,安全专家发现大量的网站受到一系列的数量众多的SQL注入攻击,这种攻击利用脆弱的Web应用程序,使用这些站点作一个平台,使访问者的PC感染恶意软件。而且数据库安全专家David Litchfield正在研究利用多种不需要输入的PL/SQL程序的新方法,也就是侧面SQl注入。它可以对Oracle数据可进行远程攻击。通过用户的SQL注入对Web站点发动大规模攻击的趋势正在继续。
手工测试SQL注入的方法过去一直是确定数据库是否存在安全漏洞的惟一方法。挖掘返回的错误信息、增加省略符号并且设法猜测数据库结构信息是一项长期的和艰苦的过程。而且,这并不能保证你发现所有的 SQL注入安全漏洞,很少能够查看或者提取数据。现在,有一些工具能够实施AQL注入攻击。一些免费的和商业性的黑客工具都能够实施这种攻击。
今天的SQL注入攻击在查找漏洞方面的技术更加的先进。在预防SQl注入攻击时,我们需要知道网站何时可能受到什么样的漏洞的攻击,而一个好的网络漏洞扫描器将发现您网站上的所有目前已知的SQL注入漏洞。而面对数据库的SQl注入攻击,也可以采取避免使用单引号标志、限制那些执行Web应用程序代码的帐户权限、减少或消除调试信息等方法进行防御,此外,微软也提供了一些简单的工具,例如Scrawlr和UrlScan version 3.0 Beta,来应对SQL注入攻击。
这一部分的文章是对本专题的补充。
专家答疑
技巧
在WEB应用程序完成构建之际,我们应当使用哪些安全设备来保护它的正常运行呢?TT安全专家认为,首先将WEB应用程序所要使用到的数据进行分类是非常重要的……
将社会安全号码作为网站访问必填项的要求合适吗?在这方面有什么类似“设置用户账户的最佳实践”的专门文献可供参考?听听TT安全专家Randall Gamby的建议吧……
软件外包可降低劳动力,然而把外包业务交给发展中国家进行会有什么主要的业务风险,安全风险管理在减轻业务风险方面又能发挥什么样的作用呢?
本周
本月
