那么，除了在Web開發(fā)的時候注意以外，有什么有效的工具可以對抗SQL注入攻擊？

今天，微軟和惠普的安全部門合作發(fā)布了三個工具，分別是：

微軟SQL注入攻擊源碼掃描器：Microsoft Source Code Analyzer for SQL Injection (MSCASI)。這個工具給網(wǎng)站開發(fā)人員使用。是一個靜態(tài)掃描ASP代碼的工具，可以查找發(fā)現(xiàn)第一類和第二類的SQL注入攻擊漏洞。工具下載地址：

http://support.microsoft.com/kb/954476

惠普的 Scrawlr工具。這個工具可以被網(wǎng)站的維護人員使用，是一個黑箱掃描工具，不需要源代碼。指定起始URL開始掃描。確定是不能準(zhǔn)確定位代碼的漏洞（因為是黑箱測試）。工具下載地址：

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

微軟的URLScan 3.0 Beta。這個工具可以被網(wǎng)站的維護人員使用。它是一個輸入過濾工具。如果你發(fā)現(xiàn)網(wǎng)站被SQL注入工具，你可以在一邊修補代碼漏洞的同時，使用這個攻擊在過濾掉惡意的輸入。當(dāng)然，修補代碼中的漏洞是完全避免SQL注入攻擊的真正解決方案。工具下載地址：

http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx

SWI的博客上有更進一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx

那么，這三個工具是如何配合使用的？下面給出一個例子。

步驟一：網(wǎng)站的維護人員使用Scrawlr掃描網(wǎng)站，檢查是否存在SQL注入漏洞

步驟二：發(fā)現(xiàn)存在漏洞后，通知開發(fā)人員。開發(fā)人員使用MSCASI對ASP源碼靜態(tài)掃描來確定代碼中什么地方導(dǎo)致的SQL注入攻擊漏洞。

步驟三：在開發(fā)人員修補漏洞的同時，維護人員可以使用URLScan來過濾可能的惡意輸入，以確保網(wǎng)站的安全。

這三個工具的配合使用可以很大程度上減少網(wǎng)站被掛馬的可能。說實話，現(xiàn)在被掛馬的網(wǎng)站實在是太多了！

最新評論