【TechTarget中国原创】微软提醒用户，有几款工具可以支持应用配置，这是在针对网站中的缺陷代码发起的越来越多的SQL注入攻击。

　　这家软件巨头推荐用户使用周二的安全公告中提到的工具。它通知用户，他们正在跟踪大量攻击。这些攻击发生在使用微软ASP和ASP.NET技术的网站上。问题存在于一些微小软件代码漏洞，而这样的漏洞很难检测到。

　　微软安全响应通信(MSRC)经理，Bill Sisk说： “这些SQL注入攻击并不利用特定的软件漏洞，但是，他们以一些网站为目标，这些网站在访问或使用存储在相关的数据库中的数据时，不遵守安全代码实践的。”

　　在过去的几个月中，研究人员一直在跟踪上千个网站中的大量的SQL注入。这种攻击使用一些黑客工具，而这些工具可以在黑市上买得到。基本上这些攻击可以引发Web应用服务器上的错误，允许黑客在系统中插入自己的代码并获得访问权。具体被攻击的网站数量还不能确定。

　　在给用户的公告中，微软把Scrawlr确定为漏洞扫描器，这种扫描器是由Hewlett Packard和MSRC的研究人员共同开发的。在一篇博客中，惠普的应用安全中心的高级产品经理Erik Peterson说，这种工具随软不如厂商全力支持的产品，但是它是免费的，并且可以块孙分析网站的潜在问题。这种工具不能确定那一行代码有问题，只能在1500个页面中慢慢查找。它不支持网站请求认证，也不能为SQL注入测试窗体，此外还有一些其它限制。

　　UrlScan version 3.0 Beta是微软开发的一款工具，可以阻止HTTP请求。微软说这款工具可以阻止有害的请求到达服务器上的Web应用程序。按照设计这种工具可以从urlscan.ini文件中读取配置。很多例子证明这款工具可以作为URL过滤器安装。管理员可以使用这种工具限制由互联网信心服务处理的请求类型。

　　微软对SQl注入的源码分析也可以用于检测受到SQL注入攻击的ASP代码。它可以产生一个报告，显示代码问题。微软承认这种工具也有一些限制。他只能解决在VBScript 上写的ASP代码，而且使用它有时会导致一些分析错误。

　　BigFix 的首席技术官Amrit Williams说， 把这种工具交给Web开发人员和IT管理员，可以帮助他们促进安全意识，特别是对90年代中期的质量不太好的产品。Amrit Williams原来是Gartner的分析师。Amrit Williams警告说，这种工具不能提到更高级的技术，或者经验丰富的全人力分析。

　　在一封交换邮件中，Williams说： “不幸的是，总是重大事故驱动人们去做正确的事情。在软件开发生命周期，甚至是Web开发中的安全部分，尤其如此。而Web开发更快速，并且比传统的软件开发结构少。”