那么，除了在Web開(kāi)發(fā)的時(shí)候注意以外，有什么有效的工具可以對(duì)抗SQL注入攻擊？

今天，微軟和惠普的安全部門(mén)合作發(fā)布了三個(gè)工具，分別是：

微軟SQL注入攻擊源碼掃描器：Microsoft Source Code Analyzer for SQL Injection (MSCASI)。這個(gè)工具給網(wǎng)站開(kāi)發(fā)人員使用。是一個(gè)靜態(tài)掃描ASP代碼的工具，可以查找發(fā)現(xiàn)第一類(lèi)和第二類(lèi)的SQL注入攻擊漏洞。工具下載地址：

http://support.microsoft.com/kb/954476

惠普的 Scrawlr工具。這個(gè)工具可以被網(wǎng)站的維護(hù)人員使用，是一個(gè)黑箱掃描工具，不需要源代碼。指定起始URL開(kāi)始掃描。確定是不能準(zhǔn)確定位代碼的漏洞（因?yàn)槭呛谙錅y(cè)試）。工具下載地址：

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

微軟的URLScan 3.0 Beta。這個(gè)工具可以被網(wǎng)站的維護(hù)人員使用。它是一個(gè)輸入過(guò)濾工具。如果你發(fā)現(xiàn)網(wǎng)站被SQL注入工具，你可以在一邊修補(bǔ)代碼漏洞的同時(shí)，使用這個(gè)攻擊在過(guò)濾掉惡意的輸入。當(dāng)然，修補(bǔ)代碼中的漏洞是完全避免SQL注入攻擊的真正解決方案。工具下載地址：

http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx

SWI的博客上有更進(jìn)一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx

那么，這三個(gè)工具是如何配合使用的？下面給出一個(gè)例子。

步驟一：網(wǎng)站的維護(hù)人員使用Scrawlr掃描網(wǎng)站，檢查是否存在SQL注入漏洞

步驟二：發(fā)現(xiàn)存在漏洞后，通知開(kāi)發(fā)人員。開(kāi)發(fā)人員使用MSCASI對(duì)ASP源碼靜態(tài)掃描來(lái)確定代碼中什么地方導(dǎo)致的SQL注入攻擊漏洞。

步驟三：在開(kāi)發(fā)人員修補(bǔ)漏洞的同時(shí)，維護(hù)人員可以使用URLScan來(lái)過(guò)濾可能的惡意輸入，以確保網(wǎng)站的安全。

這三個(gè)工具的配合使用可以很大程度上減少網(wǎng)站被掛馬的可能。說(shuō)實(shí)話，現(xiàn)在被掛馬的網(wǎng)站實(shí)在是太多了！

最新評(píng)論