TechTarget：您已经将SQL注入攻击与现在Linux和Windows系统的漏洞范围进行了比较。开发一些自动攻击有多容易？

　　SIMA：今天，攻击者必须具备的知识不仅仅是网络应用程序安全方面的，同时也要具备SQL注入方面的，这样才能攻击某人的站点并窃取信息。这是一项需要手动操作的工作，需要聚集一些相当聪明的人才才能完成。但是SQL注入可以是自动的，并且其技术在不断发展。实际上，在Black Hat会议上将会有自动SQl注入的话题。我认为这是其本身的首要问题。一些黑帽公开发布了这项技术，这将使得脚本黑客在没有任何知识的情况下，便可以获得免费的软件工具，将其指向网络站点，并自动下载数据库。

　　我认为这使问题更为危急和严重。SQL注入的自动化增加了SQL注入蠕虫的可能性，这一点是非常有可能的。实际上，到现在还没有发生，我很奇怪。

　　TechTarget：这么说来，创建SQL注入蠕虫并不是那么难？

　　SIMA：人们认为SQL注入漏洞对其应用程序而言，是独一无二的；即它们全不相同，并且蠕虫不可能用于执行SQL注入。这就是他们错误的地方。Google hacking可以用来定位易受攻击的网络站点，并将减小攻击目标站点的范围。这些结果可以作为蠕虫的基础。

　　确定了易受攻击的站点以后，有效载荷或者蠕虫上传到受SQL感染的站点上。从那点上，服务器紧接着就可以转向Google，并且确定下一个使用SQL注入的易受攻击的站点，很容易就可以做到这点。然后，他就可以感染下一台计算机，紧接着这台计算机返回Google，再确定下一个易受攻击的计算机，如此往复循环。这样，像SQL注入一样把Google和自动SQL注入性能合在一起的一些同样独特的东西，也可以用来自动运行传播速递及其快的蠕虫。

　　使它比其它已经实现的蠕虫更危险的是其它蠕虫是以单一漏洞为基础的——这些漏洞可以用补丁修复。只要有SQL注入，你就不能安装补丁。这是一个执行漏洞，可以应用到Microsoft服务器、Apache服务器、PHP编码和ASP编码。必须进检查和修复源码，这并不是一件简单的事。

　　为了确定你的站点是否容易受到SQL注入的攻击，请阅读网上的详细步骤。

　　TechTarget：您看起来对我们还没有看到任何SQL注入蠕虫这一点比较惊讶。我们可以看到这一点的期限是什么时候？

　　SIMA：我相信有一些人可能已经利用这一点了；一些人很聪明，可以利用这一技术获得财富或达到其它目的。其SQL注入蠕虫可能已经秘密地用于获取信息，只是我们还没有监测到这个方法。

　　不能预言什么时候会发生下一次SQL注入攻击。我可以告诉你的是，这些知识和理念会很快传播。接下来的问题就是无论谁可以坐下来，传播一个SQL攻击。