WEB开发网
开发学院网络安全安全技术 自动式SQL注入攻击的新型防御 阅读

自动式SQL注入攻击的新型防御

 2008-09-11 13:25:36 来源:WEB开发网   
核心提示:最近,SANS协会互联网风暴中心(Internet Storm Center)的分析家们发现了一种工具:可以将易受SQL注入攻击网站的搜索和开发过程自动化,自动式SQL注入攻击的新型防御,自动操作阐明了使用部分合法网站来主办和传播恶意软件,这一技术正日益流行,它使用Google搜寻潜在的漏洞网站,这些网站使用由微软的A

最近,SANS协会互联网风暴中心(Internet Storm Center)的分析家们发现了一种工具:可以将易受SQL注入攻击网站的搜索和开发过程自动化。自动操作阐明了使用部分合法网站来主办和传播恶意软件,这一技术正日益流行。

在这篇文章中,TechTarget的特约专家会探讨一下SQL注入攻击,并研究如何发现、隔离和解决安全网站的恶意网页。

以往的SQL注入攻击

SQL注入攻击并不是什么新事物。例如,在2003年公开审理的一个案例中,一家服装公司,Guess公司的网站上遭受了一次SQL注入攻击,结果导致安全破坏以及政府主导的法律解决。当时,法庭文件把SQL注入描述为“当攻击者在标准网页浏览器的地址(或URL)栏里键入某些字符,指引应用程序从支持或连接到网站的数据库里获得信息”时发生的。在法庭上,已经发现攻击者操纵应用程序,以明文形式访问guess.com数据库里的每一个表格,包括提供买家信用卡信息的表格。

如果暴露敏感信息,公司面临的责任并没有改变。然而,关于最近一轮的SQL注入攻击的新内容是:攻击自动化的程度和它们所执行的绝对范围。

新型的SQL注入攻击

从技术角度来看,在寻找有漏洞的网站方面,今天的SQL注入攻击者更加彻底。他们使用各种工具加快开发进程。考虑到Asprox特洛伊木马病毒,它通过垃圾邮件和僵尸网络四处传播。亚特兰大的SecureWorks公司的高级安全研究员Joe Stewart介绍了整个过程是如何进行的:

1. 通过垃圾邮件(它通过受到感染的主机自动发送)安装一个特洛伊木马病毒。

2. 受到特洛伊木马病毒感染的电脑下载一个二进制,当启动时,它使用Google搜寻潜在的漏洞网站,这些网站使用由微软的Active Server Pages建立的窗体。搜寻结果成为SQL注入攻击的目标列表。

1 2  下一页

Tags:自动 SQL 注入

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接