Core Security Technologies公司的研究员开发了一种新的自动黑客技术，可让攻击者轻易地找到和攻击SQL注入漏洞，以及攻击者常用的代码错误。

　　由Core researcher Sebastian Cufre组织的研究可以帮助漏洞查找者提高发现SQL注入漏洞的效率，这样以来可以在攻击者利用它们之前就将漏洞修复好。Cufre不能参加这一会议，所以CoreLabs的研究员Fernando Federico Russ在2010年的CanSecWest应用安全会议上演示了这一黑盒技术。

　　Russ说：“这有助于自动查找和攻击SQL注入漏洞，最棒的是有一个SQL提取功能，能让你在后端数据库上直接执行SQL语句。”

　　SQL注入一直是种流行的攻击技术，因为代码错误会让攻击者获取Web应用程序的访问权，这在许多网站中都很常见。攻击者能够在Web表格中添加结构化的查询语言（SQL）来测试数据库，以检查结果数据库的调试错误并获取访问权限。

　　黑客工具包让攻击者能更容易地攻击和危害网站，并将网站上建立的恶意代码传播给网站访问者。企业已采取措施，减少Web应用程序中的SQL注入代码错误。

　　Russ的技术研究显示了黑客测试技术如何被应用来高效查找SQL注入错误。黑盒测试为获取黑客动向采取了外部方式来测试软件。它让软件测试员理解黑客在受危害的机器上可能采取的攻击类别。

　　Russ说：“我们正努力掌握漏洞知识和推断串注入点的标准测试。”

　　这一技术消除了自动SQL注入漏洞评估过程中的误报情况。这一方法还可自动生成攻击代码。Core计划在它的网站上发布相应的研究论文。

　　目前，网站站长们有很多方法来测试他们网站上的代码错误。很多静态和动态代码分析工具能够用来查找可导致SQL注入的代码错误，尽管专家们称这些工具越来越先进，但其中的大多数工具还是存在很大的误差和很高的误报率。2008年的时候，SQL注入攻击非常严重，微软曾在公告中指出了几款可消除开发过程中错误的工具。

　　另外，组织机构可以限制用户的访问权限，在应用程序全面投入运营之前，通过应用静态代码分析来检测错误，以改进软件开发过程。而且可在SQL串导致底层数据库崩溃时，减少显示给用户的调试错误。