TechTarget:您已经将SQL注入攻击与现在Linux和Windows系统的漏洞范围进行了比较。开发一些自动攻击有多容易?
SIMA:今天,攻击者必须具备的知识不仅仅是网络应用程序安全方面的,同时也要具备SQL注入方面的,这样才能攻击某人的站点并窃取信息。这是一项需要手动操作的工作,需要聚集一些相当聪明的人才才能完成。但是SQL注入可以是自动的,并且其技术在不断发展。实际上,在Black Hat会议上将会有自动SQl注入的话题。我认为这是其本身的首要问题。一些黑帽公开发布了这项技术,这将使得脚本黑客在没有任何知识的情况下,便可以获得免费的软件工具,将其指向网络站点,并自动下载数据库。
我认为这使问题更为危急和严重。SQL注入的自动化增加了SQL注入蠕虫的可能性,这一点是非常有可能的。实际上,到现在还没有发生,我很奇怪。
TechTarget:这么说来,创建SQL注入蠕虫并不是那么难?
SIMA:人们认为SQL注入漏洞对其应用程序而言,是独一无二的;即它们全不相同,并且蠕虫不可能用于执行SQL注入。这就是他们错误的地方。Google hacking可以用来定位易受攻击的网络站点,并将减小攻击目标站点的范围。这些结果可以作为蠕虫的基础。
确定了易受攻击的站点以后,有效载荷或者蠕虫上传到受SQL感染的站点上。从那点上,服务器紧接着就可以转向Google,并且确定下一个使用SQL注入的易受攻击的站点,很容易就可以做到这点。然后,他就可以感染下一台计算机,紧接着这台计算机返回Google,再确定下一个易受攻击的计算机,如此往复循环。这样,像SQL注入一样把Google和自动SQL注入性能合在一起的一些同样独特的东西,也可以用来自动运行传播速递及其快的蠕虫。
使它比其它已经实现的蠕虫更危险的是其它蠕虫是以单一漏洞为基础的——这些漏洞可以用补丁修复。只要有SQL注入,你就不能安装补丁。这是一个执行漏洞,可以应用到Microsoft服务器、Apache服务器、PHP编码和ASP编码。必须进检查和修复源码,这并不是一件简单的事。
为了确定你的站点是否容易受到SQL注入的攻击,请阅读网上的详细步骤。
TechTarget:您看起来对我们还没有看到任何SQL注入蠕虫这一点比较惊讶。我们可以看到这一点的期限是什么时候?
SIMA:我相信有一些人可能已经利用这一点了;一些人很聪明,可以利用这一技术获得财富或达到其它目的。其SQL注入蠕虫可能已经秘密地用于获取信息,只是我们还没有监测到这个方法。
不能预言什么时候会发生下一次SQL注入攻击。我可以告诉你的是,这些知识和理念会很快传播。接下来的问题就是无论谁可以坐下来,传播一个SQL攻击。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
McAfee公司调查证实规则遵从是IT安全的关键驱动力
根据安全巨人McAfee公司近日发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。
-
黑帽大会2010:黑客展示如何攻陷百万台路由器
网络安全顾问Craig Heffner将在2010美国黑帽大会上,展示如何透过存在已久的DNS重新绑定技术攻击全球数百万台的路由器,届时也将发表自动攻击工具。
-
云安全
云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。
-
调查发现:云计算的风险大于收益
通过对1800多名美国IT职业人员进行调查,发现有48%的人表示云计算的风险大于其收益,有些管理企业内部云计算项目的IT职业人员对云计算表现出了持续的焦虑情绪。