安全技巧：學會檢查SQL注入式攻擊漏洞

【原創翻譯，版權所有，合作網站如欲轉載，請註明原創翻譯作者「freedom」，及文章出處（賽迪網）。謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

保障Web站點和應用程序的安全，免受SQL注入攻擊涉及到三部分內容：

1.通過徹底審核Web站點和Web應用程序的SQL注入式攻擊和其它形式的攻擊漏洞來分析目前的安全狀態。

2.確保你使用最佳的編碼方法，來保證WEB應用程序和IT架構所有其它部分的安全性。

3.在你向Web組件添加了內容以及做出改變後，能夠定期地執行Web安全的審核。

此外，在檢查SQL 注入式攻擊和其它攻擊技術時，你需要牢記在心的基本原則是這樣的:「WEB站點的哪一部分可以被我們認為是安全的，而實際上卻向攻擊者敞開了大門？」，以及「我們可以向一個應用程序提交哪些資料可以使其執行一些它不應當進行的操作？」

檢查SQL注入攻擊漏洞涉及到審核你的We站點和Web應用程序。手動進行漏洞審核覆雜而且耗時。它還要求具備較高水平的專業技術和跟蹤大量代碼和黑客的最新伎倆的能力

檢查你的web站點和應用程序是否易於受到SQL注入式攻擊的最佳方法是通過運用一個自動化的和啟髮式的Web漏洞掃瞄程序。

一個自動化的Web漏洞掃瞄程序可以進入你的整個Web站點並且可以自動地檢查SQL注入式攻擊。它會指示出哪些URL及腳本易於受到SQL注入式攻擊，從而便於你立即修正其相關代碼。除了可以掃瞄SQL注入式漏洞，一個Web應用程序掃瞄工具還應當檢查跨站腳本攻擊和其它的Web漏洞。

簽名匹配與SQL注入式攻擊的啟髮式掃瞄

雖然許多組織理解自動化和定期web審核的需要，但很少有哪一個會真正掃瞄其Web應用程序。一種一般的錯誤理解是這些定制的Web應用程序不易受到黑客攻擊。這就引起了更多的「這絕不可能發生在我身上」現象和Web站點的所有者們對其開發人員的過多信心。

一項對谷歌新聞網頁的搜索返回了240個關於「SQL注入式攻擊」（在筆者寫作時）的匹配。Secunia 和SecuObs每天報告許多已知Web應用程序的漏洞。不過，被攻擊的定制應用程序很少被媒體提及。

定制的Web應用程序有可能是最易於受到攻擊的並且無疑地會吸引最多數量的黑客，理解這一點是至關重要的，因為黑客們知道這種應用程序並沒有通過嚴格的測試和現貨供應產品的質量保證過程。

這也意味著僅通過一個基於簽名的掃瞄程序來掃瞄一個定制的Web應用程序並不能將某漏洞確認為SQL注入式攻擊和任何其它的攻擊技術。

建立並測試已知應用程序漏洞的特徵資料庫是很不夠的。這是一種被動審核，因為它只能涉及到現有的應用程序，並沒有發現針對新黑客攻擊技術的任何漏洞。另外，在一個黑客對你的定制的Web應用程序發動SQL注入式攻擊時，簽名匹配的作用就很少了。黑客攻擊並非基於簽名文件的測試，黑客們知道已知的應用程序、系統和伺服器等正由各自的廠商進行更新並可以保障其始終如一的安全性。定制的應用程序可以成為公認的「蜜罐」！

僅有少部分產品採用了強健而具有啟發性的技術來確認真實的威脅。真正的自動化Web漏洞掃瞄幾乎完全依賴你的站點如何建立其結構以及各種各樣的部件和鏈接，還有掃瞄程序聰明地利用各種各樣的攻擊方式和技術來針對Web應用程序的能力。

僅僅檢測已知應用程序的已知漏洞是收效甚微。在檢測漏洞時需要涉及大量的啟發性技術，因為黑客們是極具有創造力的，它們會針對預定的Web應用程序發動其攻擊，以便於創造最大的影響。

(