Core Security Technologies公司的研究员开发了一种新的自动黑客技术,能让攻击者轻易地找到和攻击SQL注入漏洞,还有攻击者常用的代码错误。以下就是对防御SQL注入攻击的详细内容的描述。
由Core researcher Sebastian Cufre组织的研究可以帮助漏洞查找者提高发现SQL注入漏洞的效率,这样以来可以在攻击者利用它们之前就将漏洞修复好。Cufre不能参加这一会议,所以CoreLabs的研究员Fernando Federico Russ在2010年的CanSecWest应用安全会议上演示了这一黑盒技术。
Russ说:“这有助于自动查找和攻击SQL注入漏洞,最棒的是有一个SQL提取功能,能让你在后端数据库上直接执行SQL语句。”
SQL注入一直是种流行的攻击技术,因为代码错误会让攻击者获取Web应用程序的访问权,这在许多网站中都很常见。攻击者能够在Web表格中添加结构化的查询语言(SQL)来测试数据库,以检查结果数据库的调试错误并获取访问权限。
黑客工具包让攻击者能更容易地攻击和危害网站,并将网站上建立的恶意代码传播给网站访问者。企业已采取措施,减少Web应用程序中的SQL注入代码错误。
Russ的技术研究显示了黑客测试技术如何被应用来高效查找SQL注入错误。黑盒测试为获取黑客动向采取了外部方式来测试软件。它让软件测试员理解黑客在受危害的机器上可能采取的攻击类别。
Russ说:“我们正努力掌握漏洞知识和推断串注入点的标准测试。”
这一技术消除了自动SQL注入漏洞评估过程中的误报情况。这一方法还可自动生成攻击代码。Core计划在它的网站上发布相应的研究论文。
目前,网站站长们有很多方法来测试他们网站上的代码错误。很多静态和动态代码分析工具能够用来查找可导致SQL注入的代码错误,尽管专家们称这些工具越来越先进,但其中的大多数工具还是存在很大的误差和很高的误报率。2008年的时候,SQL注入攻击非常严重,微软曾在公告中指出了几款可消除开发过程中错误的工具。
另外,组织机构可以限制用户的访问权限,在应用程序全面投入运营之前,通过应用静态代码分析来检测错误,以改进软件开发过程。而且可在SQL串导致底层数据库崩溃时,减少显示给用户的调试错误。
【编辑推荐】
