研究员开发新技术 抵御SQL注入攻击

安全 应用安全
研究员开发了一种技术先进的自动黑客技术,攻击者轻易地找到与攻击SQL注入漏洞,及攻击者常用的代码错误。此文就是对这种新的防御SQL注入攻击的技术进行说明。

Core Security Technologies公司的研究员开发了一种新的自动黑客技术,能让攻击者轻易地找到和攻击SQL注入漏洞,还有攻击者常用的代码错误。以下就是对防御SQL注入攻击的详细内容的描述。

由Core researcher Sebastian Cufre组织的研究可以帮助漏洞查找者提高发现SQL注入漏洞的效率,这样以来可以在攻击者利用它们之前就将漏洞修复好。Cufre不能参加这一会议,所以CoreLabs的研究员Fernando Federico Russ在2010年的CanSecWest应用安全会议上演示了这一黑盒技术。

Russ说:“这有助于自动查找和攻击SQL注入漏洞,最棒的是有一个SQL提取功能,能让你在后端数据库上直接执行SQL语句。”

SQL注入一直是种流行的攻击技术,因为代码错误会让攻击者获取Web应用程序的访问权,这在许多网站中都很常见。攻击者能够在Web表格中添加结构化的查询语言(SQL)来测试数据库,以检查结果数据库的调试错误并获取访问权限。

黑客工具包让攻击者能更容易地攻击和危害网站,并将网站上建立的恶意代码传播给网站访问者。企业已采取措施,减少Web应用程序中的SQL注入代码错误。

Russ的技术研究显示了黑客测试技术如何被应用来高效查找SQL注入错误。黑盒测试为获取黑客动向采取了外部方式来测试软件。它让软件测试员理解黑客在受危害的机器上可能采取的攻击类别。

Russ说:“我们正努力掌握漏洞知识和推断串注入点的标准测试。”

这一技术消除了自动SQL注入漏洞评估过程中的误报情况。这一方法还可自动生成攻击代码。Core计划在它的网站上发布相应的研究论文。

目前,网站站长们有很多方法来测试他们网站上的代码错误。很多静态和动态代码分析工具能够用来查找可导致SQL注入的代码错误,尽管专家们称这些工具越来越先进,但其中的大多数工具还是存在很大的误差和很高的误报率。2008年的时候,SQL注入攻击非常严重,微软曾在公告中指出了几款可消除开发过程中错误的工具。

另外,组织机构可以限制用户的访问权限,在应用程序全面投入运营之前,通过应用静态代码分析来检测错误,以改进软件开发过程。而且可在SQL串导致底层数据库崩溃时,减少显示给用户的调试错误。

 

【编辑推荐】

  1. 网络安全技术与应用
  2. CIO喜讯:网络安全保障有偏方
  3. 企业计算机网络安全防御体系的不安全因素和策略
  4. 应对五大网络安全威胁,你准备好了吗?
  5. 360发布《2011上半年中国网络安全报告》
责任编辑:Writer 来源: security.zdnet.com
相关推荐

2010-09-09 08:41:34

2014-11-05 09:52:50

2014-03-12 10:42:44

2022-01-17 09:29:45

谷歌NeRF技术

2009-03-10 08:05:19

2020-12-03 10:56:31

软件开发反馈弧

2022-02-24 11:00:12

安全美国中国

2021-02-21 00:18:47

恶意软件研究职业技术

2022-06-15 18:57:43

人工智能

2020-09-21 14:25:26

Google 开源技术

2011-10-19 10:47:56

2009-05-05 14:28:56

mcafee虚拟化虚拟机

2013-12-13 10:45:26

2020-08-24 08:15:29

软件互联网分布式

2020-12-23 17:50:46

AI语言模型AI伦理

2010-09-14 16:00:16

2010-09-08 12:49:23

2014-11-04 13:43:10

2019-02-22 09:00:00

2009-02-04 16:51:48

点赞
收藏

51CTO技术栈公众号