研究员开发新的技术来防御SQL注入攻击

日期: 2010-03-28 作者:Robert Westervelt翻译:唐波 来源:TechTarget中国 英文

Core Security Technologies公司的研究员开发了一种新的自动黑客技术,可让攻击者轻易地找到和攻击SQL注入漏洞,以及攻击者常用的代码错误。

  由Core researcher Sebastian Cufre组织的研究可以帮助漏洞查找者提高发现SQL注入漏洞的效率,这样以来可以在攻击者利用它们之前就将漏洞修复好。Cufre不能参加这一会议,所以CoreLabs的研究员Fernando Federico Russ在2010年的CanSecWest应用安全会议上演示了这一黑盒技术。

  Russ说:“这有助于自动查找和攻击SQL注入漏洞,最棒的是有一个SQL提取功能,能让你在后端数据库上直接执行SQL语句。”

  SQL注入一直是种流行的攻击技术,因为代码错误会让攻击者获取Web应用程序的访问权,这在许多网站中都很常见。攻击者能够在Web表格中添加结构化的查询语言(SQL)来测试数据库,以检查结果数据库的调试错误并获取访问权限。

  黑客工具包让攻击者能更容易地攻击和危害网站,并将网站上建立的恶意代码传播给网站访问者。企业已采取措施,减少Web应用程序中的SQL注入代码错误。

  Russ的技术研究显示了黑客测试技术如何被应用来高效查找SQL注入错误。黑盒测试为获取黑客动向采取了外部方式来测试软件。它让软件测试员理解黑客在受危害的机器上可能采取的攻击类别。

  Russ说:“我们正努力掌握漏洞知识和推断串注入点的标准测试。”

  这一技术消除了自动SQL注入漏洞评估过程中的误报情况。这一方法还可自动生成攻击代码。Core计划在它的网站上发布相应的研究论文。

  目前,网站站长们有很多方法来测试他们网站上的代码错误。很多静态和动态代码分析工具能够用来查找可导致SQL注入的代码错误,尽管专家们称这些工具越来越先进,但其中的大多数工具还是存在很大的误差和很高的误报率。2008年的时候,SQL注入攻击非常严重,微软曾在公告中指出了几款可消除开发过程中错误的工具。

  另外,组织机构可以限制用户的访问权限,在应用程序全面投入运营之前,通过应用静态代码分析来检测错误,以改进软件开发过程。而且可在SQL串导致底层数据库崩溃时,减少显示给用户的调试错误。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐