【TechTarget中国原创】微软提醒用户,有几款工具可以支持应用配置,这是在针对网站中的缺陷代码发起的越来越多的SQL注入攻击。
这家软件巨头推荐用户使用周二的安全公告中提到的工具。它通知用户,他们正在跟踪大量攻击。这些攻击发生在使用微软ASP和ASP.NET技术的网站上。问题存在于一些微小软件代码漏洞,而这样的漏洞很难检测到。
微软安全响应通信(MSRC)经理,Bill Sisk说: “这些SQL注入攻击并不利用特定的软件漏洞,但是,他们以一些网站为目标,这些网站在访问或使用存储在相关的数据库中的数据时,不遵守安全代码实践的。”
在过去的几个月中,研究人员一直在跟踪上千个网站中的大量的SQL注入。这种攻击使用一些黑客工具,而这些工具可以在黑市上买得到。基本上这些攻击可以引发Web应用服务器上的错误,允许黑客在系统中插入自己的代码并获得访问权。具体被攻击的网站数量还不能确定。
在给用户的公告中,微软把Scrawlr确定为漏洞扫描器,这种扫描器是由Hewlett Packard和MSRC的研究人员共同开发的。在一篇博客中,惠普的应用安全中心的高级产品经理Erik Peterson说,这种工具随软不如厂商全力支持的产品,但是它是免费的,并且可以块孙分析网站的潜在问题。这种工具不能确定那一行代码有问题,只能在1500个页面中慢慢查找。它不支持网站请求认证,也不能为SQL注入测试窗体,此外还有一些其它限制。
UrlScan version 3.0 Beta是微软开发的一款工具,可以阻止HTTP请求。微软说这款工具可以阻止有害的请求到达服务器上的Web应用程序。按照设计这种工具可以从urlscan.ini文件中读取配置。很多例子证明这款工具可以作为URL过滤器安装。管理员可以使用这种工具限制由互联网信心服务处理的请求类型。
微软对SQl注入的源码分析也可以用于检测受到SQL注入攻击的ASP代码。它可以产生一个报告,显示代码问题。微软承认这种工具也有一些限制。他只能解决在VBScript 上写的ASP代码,而且使用它有时会导致一些分析错误。
BigFix 的首席技术官Amrit Williams说, 把这种工具交给Web开发人员和IT管理员,可以帮助他们促进安全意识,特别是对90年代中期的质量不太好的产品。Amrit Williams原来是Gartner的分析师。Amrit Williams警告说,这种工具不能提到更高级的技术,或者经验丰富的全人力分析。
在一封交换邮件中,Williams说: “不幸的是,总是重大事故驱动人们去做正确的事情。在软件开发生命周期,甚至是Web开发中的安全部分,尤其如此。而Web开发更快速,并且比传统的软件开发结构少。”