周二,微软发布了SQL注入防卫和检测工具,旨在帮助开发人员防卫对使用ASP和ASP.net网站的攻击。
这个工具包括属于Beta版本的URLScan3.0和为SQL注入的微软源代码分析仪,可作为一个社区技术预览。此外,在周二,惠普发布的Scrawlr,这是由惠普网络安全研究小组和微软所开发的SQL注入检测工具。
微软表示,防卫SQL注入攻击作为微软的一个安全建议公告,该工具目的就是帮助开发人员建立更加安全的代码。
在该公告中,微软列举了其日益上升的SQL攻击,当这些攻击成功时,攻击者就危及到存储在数据库中的数据安全,并且很可能执行远程代码。对一个有安全危及的服务器客户端,这种操作可能会提交到恶意网站,并可能把恶意软件安装到客户端机器上。
微软意识到,最近泛滥的一类攻击主要是针对由ASP和ASP.NET做成的一些网站,这些SQL注入攻击不利用特定的软件漏洞,他们主要针对那些不遵守安全编码做法的目标网站。微软工程师强调了这三个工具的互补性。
MSCASI分析ASP源代码,发现其前者的脆弱性。第一代和第二代SQL注入漏洞都可以被检测出,并且受影响的源代码的精确路线将被揭示。
UrlScan 3.0更新现有的URLScan IIS过滤工具,阻止HTTP请求包含可疑的文本,例如SQL关键字。Scrawlr被形容为并没有获得源代码的黑箱分析工具,但是,在给予Web应用程序的URL后,Scrawlr将会分析SQL注入漏洞的应用。