微软推出免费软件协助大家打击SQL注入攻击。
微软推广新近发布的免费软件,以协助IT专家们对SQL注入攻击揭竿而起。
这些免费产品的发布正值最近几个月以来合法网站不断受到SQL注入骚扰的非常时期。微软在昨天公布的一份安全报告中宣布了这些可以利用来防范攻击的免费工具。其中有两个工具——UrlScan 3.0 beta和Microsoft Source Code Analyzer for SQL Injection CTP版是微软自己独享的技术成果。另外一款是由惠普的网络安全研究组(与微软合作)开发的名为Scrawlr的网站安全扫描软件。
微软的安全应急协调主管Billl Sick表示,微软正致力于将三款可用于保护个人网站免受SQL注入攻击的独立工具的信息传递给大家。这三款免费软件都提供监测和防御功能,同时还能鉴别可能由攻击者发动的攻击代码。微软鼓励其客户仔细研究微软发布的安全报告,并遵循其中的建议,下载这些工具,为自己创建一个更安全的网络环境。
UrlScan 3.0的作用原理是通过限制网络信息服务(IIS)提出的HTTP请求类型,一遍防止潜在的有害请求触及到服务器的网络应用软件。
Microsoft Source Code Analyzer工具则将目标锁定在ASP源代码,检查是否存在可导致SQL注入攻击漏洞的源代码。该工具只能鉴别传统ASP代码的漏洞,对ASP.NET代码无效。
原创文章,未经许可,严禁转载!
2008-6-25 at 23:45