SQL注入攻击最新动态
最近几个月,安全专家发现大量的网站受到一系列的数量众多的SQL注入攻击,这种攻击利用脆弱的Web应用程序,使用这些站点作一个平台,使访问者的PC感染恶意软件。而且数据库安全专家David Litchfield正在研究利用多种不需要输入的PL/SQL程序的新方法,也就是侧面SQl注入。它可以对Oracle数据可进行远程攻击。通过用户的SQL注入对Web站点发动大规模攻击的趋势正在继续。
SQL注入攻击测试的实施
手工测试SQL注入的方法过去一直是确定数据库是否存在安全漏洞的惟一方法。挖掘返回的错误信息、增加省略符号并且设法猜测数据库结构信息是一项长期的和艰苦的过程。而且,这并不能保证你发现所有的 SQL注入安全漏洞,很少能够查看或者提取数据。现在,有一些工具能够实施AQL注入攻击。一些免费的和商业性的黑客工具都能够实施这种攻击。
SQL注入攻击的应对措施
今天的SQL注入攻击在查找漏洞方面的技术更加的先进。在预防SQl注入攻击时,我们需要知道网站何时可能受到什么样的漏洞的攻击,而一个好的网络漏洞扫描器将发现您网站上的所有目前已知的SQL注入漏洞。而面对数据库的SQl注入攻击,也可以采取避免使用单引号标志、限制那些执行Web应用程序代码的帐户权限、减少或消除调试信息等方法进行防御,此外,微软也提供了一些简单的工具,例如Scrawlr和UrlScan version 3.0 Beta,来应对SQL注入攻击。
SQL其他推荐文章
这一部分的文章是对本专题的补充。