Submit:x0r
revise:x0r
date:20080227
source document:internet
为了确保将自己的Web站点和Web应用程序达到最高效安全,免受SQL注入式攻击后所带来的麻烦。本文讲述了三部分关于防范SQL注入式攻击的安全检查
1.通过彻底审核针对Web站点和Web应用程序的SQL注入式攻击和其它形式的攻击漏洞来分析目前Web的安全级别。
2.确保你所使用的是最安全的编码形式,来确保WEB应用程序和网站架构以及其它部分能够达到安全级别。
3.当你对Web应用程序添加了组件或者修改了其他的内容,能够及时的对当前的Web站点进行安全审核。
然而,在对Web进行安全检查SQL注入式攻击和其它攻击漏洞时,你需要在心里记住的是:“Web站点哪一部分被我们所认为是最安全的不存在SQL注入式漏洞的,相反哪一部分又是一个脆弱点它们向黑客们敞开着一扇大门?”,以及“当我们向一个Web站点提交哪些数据时它执行的是另外的一些内容呢?”
检查SQL注入漏洞时涉及到对Web站点和Web应用程序的安全审核。手工对Web站点和Web应用程序进行安全检查,费时且又费精力,而且它还要求具备较高水平的专业技术和跟踪大量代码和掌握黑客的最新技术的能力。
对于检查一个web站点和Web应用程序是否易于受到SQL注入式攻击的最佳方法是通过运用一个自动化的和启发式的Web漏洞扫描程序。
一个自动化的Web漏洞扫描程序可以扫描你的整个Web站点并且可以自动地检查SQL注入式攻击。它会指示出哪些URL及脚本易于受到SQL注入式攻击,从而便于你立即修正其相关代码。除了可以扫描SQL注入式漏洞,一个Web应用程序扫描工具还应当检查跨站脚本攻击以及CGI和其它的Web安全漏洞。
签名匹配与SQL注入式攻击的启发式扫描
虽然有许多的组织理解自动化和定期web安全审核的需要,但很少有哪一个会真正扫描其Web站点和Web应用程序。一种一般的错误理解是这些Web应用程序不会受到黑客攻击,然而事实却是相反的。
一项报告对百度新闻网页的搜索返回了226个关于“SQL注入式攻击”匹配结果。在 安全焦点、Secunia 和SecuObs每天报告许多已知Web应用程序的漏洞。不过,被攻击的Web应用程序很少被媒体所提及。
定制的Web应用程序有可能是最易于受到攻击的并且无疑地会吸引最多数量的黑客的光临,理解这一点是至关重要的,因为黑客们知道这种应用程序并没有通过严格的测试和现货供应产品的质量保证过程。
这也意味着仅通过一个基于签名的扫描程序来扫描一个定制的Web应用程序并不能将某漏洞确认为SQL注入式攻击和任何其它的攻击技术。
建立并测试已知应用程序漏洞的特征数据库是很不够的。这是一种被动审核,因为它只能涉及到现有的应用程序,并没有发现针对新黑客攻击技术的任何漏洞。另外,在一个黑客对你的定制的Web应用程序发动SQL注入式攻击时,签名匹配的作用就很少了。黑客攻击并非基于签名文件的测试,黑客们知道已知的应用程序、系统和服务器等正由各自的厂商进行更新并可以保障其始终如一的安全性。定制的应用程序可以成为公认的“蜜罐”!
仅有少部分产品采用了强健而具有启发性的技术来确认真实的威胁。真正的自动化Web漏洞扫描几乎完全依赖你的站点如何建立其结构以及各种各样的部件和链接,还有扫描程序聪明地利用各种各样的攻击方式和技术来针对Web应用程序的能力。
仅仅检测已知应用程序的已知漏洞是收效甚微。在检测漏洞时需要涉及大量的启发性技术,因为黑客们是极具有创造力的,它们会针对预定的Web应用程序发动其攻击,以便于创造最大的影响。
