Core Security Technologies公司的研究員開發(fā)了一種新的自動黑客技術，能讓攻擊者輕易地找到和攻擊SQL注入漏洞，還有攻擊者常用的代碼錯誤。以下就是對防御SQL注入攻擊的詳細內容的描述。

由Core researcher Sebastian Cufre組織的研究可以幫助漏洞查找者提高發(fā)現SQL注入漏洞的效率，這樣以來可以在攻擊者利用它們之前就將漏洞修復好。Cufre不能參加這一會議，所以CoreLabs的研究員Fernando Federico Russ在2010年的CanSecWest應用安全會議上演示了這一黑盒技術。

Russ說：“這有助于自動查找和攻擊SQL注入漏洞，最棒的是有一個SQL提取功能，能讓你在后端數據庫上直接執(zhí)行SQL語句。”

SQL注入一直是種流行的攻擊技術，因為代碼錯誤會讓攻擊者獲取Web應用程序的訪問權，這在許多網站中都很常見。攻擊者能夠在Web表格中添加結構化的查詢語言(SQL)來測試數據庫，以檢查結果數據庫的調試錯誤并獲取訪問權限。

黑客工具包讓攻擊者能更容易地攻擊和危害網站，并將網站上建立的惡意代碼傳播給網站訪問者。企業(yè)已采取措施，減少Web應用程序中的SQL注入代碼錯誤。

Russ的技術研究顯示了黑客測試技術如何被應用來高效查找SQL注入錯誤。黑盒測試為獲取黑客動向采取了外部方式來測試軟件。它讓軟件測試員理解黑客在受危害的機器上可能采取的攻擊類別。

Russ說：“我們正努力掌握漏洞知識和推斷串注入點的標準測試。”

這一技術消除了自動SQL注入漏洞評估過程中的誤報情況。這一方法還可自動生成攻擊代碼。Core計劃在它的網站上發(fā)布相應的研究論文。

目前，網站站長們有很多方法來測試他們網站上的代碼錯誤。很多靜態(tài)和動態(tài)代碼分析工具能夠用來查找可導致SQL注入的代碼錯誤，盡管專家們稱這些工具越來越先進，但其中的大多數工具還是存在很大的誤差和很高的誤報率。2008年的時候，SQL注入攻擊非常嚴重，微軟曾在公告中指出了幾款可消除開發(fā)過程中錯誤的工具。

另外，組織機構可以限制用戶的訪問權限，在應用程序全面投入運營之前，通過應用靜態(tài)代碼分析來檢測錯誤，以改進軟件開發(fā)過程。而且可在SQL串導致底層數據庫崩潰時，減少顯示給用戶的調試錯誤。

【編輯推薦】

1. 網絡安全技術與應用
2. CIO喜訊：網絡安全保障有偏方
3. 企業(yè)計算機網絡安全防御體系的不安全因素和策略
4. 應對五大網絡安全威脅，你準備好了嗎？
5. 360發(fā)布《2011上半年中國網絡安全報告》