自动式SQL注入攻击的新型防御

核心提示： 3. 特洛伊木马病毒发动对那些网站的SQL注入攻击，感染它们中的一部分，自动式SQL注入攻击的新型防御(2)，4. 访问受感染网站的人们，被蒙骗从另一个网站下载一段恶意JavaScript代码，在Web应用程序开发过程和生产前各个阶段的安全测试以往更加重要，它们应该通过配置后的测试进行扩充

3. 特洛伊木马病毒发动对那些网站的SQL注入攻击，感染它们中的一部分。

4. 访问受感染网站的人们，被蒙骗从另一个网站下载一段恶意JavaScript代码。

5. 代码指引用户到第三方站点，那里有更多的恶意软件，比如Asprox或Danmec（窃取密码的特洛伊木马）的副本。

这些步骤恰好说明，在过去的五年里所发生的变化。网站应用程序开发商曾经被建议测试和修补他们的代码，以防止发现及恶意利用SQL注入漏洞这样的微小机会发生。然而，最近的攻击已经表明目前更可能发现和恶意利用漏洞。因此，开发商应在配置前，优先大力地测试代码，一旦报道出新的漏洞，及时进行修补。

了解一个网站何时受到攻击

当然，没有任何一个企业希望在不知情的情况下传播恶意软件。所以你如何知道你的网站受否受到了攻击？奇怪的是，答案可能出现在来自Google的公告里。在黑客攻击工具两方面如何工作的一个很好的例子中，stopbadware.org项目的一个主要成员Google监测网站是否有“不良软件”：即间谍软件、恶意软件和欺骗性广告软件。事实上，当以下域中的网页搜寻器存在问题时，Google自动向下面域内的电子邮件地址发送恶意软件警报：

* abuse@

* admin@

* administrator@

* contact@

* info@

* postmaster@

* support@

* webmaster@

* abuse@

* admin@

* administrator@

* contact@

* info@

* postmaster@

* support@

* webmaster@

当然，一个企业必须做好准备接收这些消息，即一些听起来很容易迷惑的东西。在这些地址里，也许有垃圾邮件过滤器，或者更糟的是，没有指定的收件人，这就意味着这些消息可能不会被阅读。为所有企业的网域编目录并核实联络资料是很好地回应这新一轮攻击的第一步。精明的安全专家也许想利用这些攻击的消息获取额外的资源，对整个网站进行检查。

在过去的五年中，Web活动的爆炸性增长已经导致产生了许多的网站“迷失”，随后发起的项目也因没有合理的结果而被摒弃。不幸的是，Google 网络蠕虫将会不懈努力，精确地找到它们，并且如果它们是潜在的攻击目标，最终将会受到攻击。然而，所幸的是，一个企业可以主动地确定它是否有“恶意软件”的问题：可以使用Google Webmaster Tools免费检查任何网站。

那些不方便依赖Google的机构，应该着手对他们的网站进行详细地检查。有一些有所帮助的工具，以Xenu’s Link Sleuth开始。它是一个免费程序，能检测指定网站上的所有连接，并且报告各种错误。切记要测试生产站点和从公司网络以外的一台机器上运行检查；否则，就可能会漏掉一些问题。

如何应对新型的攻击

向前发展，Acunetix Ltd.和SPI Dynamics（现在为惠普所有）等的网络漏洞扫描器中将引入一个积极主动的策略。一个好的网络漏洞扫描器——不要与网络扫描器混淆——将发现您网站上的所有目前已知的SQL注入漏洞。当新的漏洞为人所知时，新式的扫描器就会发现他们。

谨记，防御SQL注入攻击也许还不够。攻击者对目标正采取一致和自动的搜寻，并对它们实行攻击。这些技术可以很好地应用于除SQL以外的，其它Web基础架构漏洞。

最后，在Web应用程序开发过程和生产前各个阶段的安全测试以往更加重要。它们应该通过配置后的测试进行扩充，这些测试包括漏洞扫描工具和现场监测。