Core Security Technologies公司的研究员开发了一种新的自动黑客技术，能让攻击者轻易地找到和攻击SQL注入漏洞，还有攻击者常用的代码错误。以下就是对防御SQL注入攻击的详细内容的描述。

由Core researcher Sebastian Cufre组织的研究可以帮助漏洞查找者提高发现SQL注入漏洞的效率，这样以来可以在攻击者利用它们之前就将漏洞修复好。Cufre不能参加这一会议，所以CoreLabs的研究员Fernando Federico Russ在2010年的CanSecWest应用安全会议上演示了这一黑盒技术。

Russ说：“这有助于自动查找和攻击SQL注入漏洞，最棒的是有一个SQL提取功能，能让你在后端数据库上直接执行SQL语句。”

SQL注入一直是种流行的攻击技术，因为代码错误会让攻击者获取Web应用程序的访问权，这在许多网站中都很常见。攻击者能够在Web表格中添加结构化的查询语言（SQL）来测试数据库，以检查结果数据库的调试错误并获取访问权限。

黑客工具包让攻击者能更容易地攻击和危害网站，并将网站上建立的恶意代码传播给网站访问者。企业已采取措施，减少Web应用程序中的SQL注入代码错误。

Russ的技术研究显示了黑客测试技术如何被应用来高效查找SQL注入错误。黑盒测试为获取黑客动向采取了外部方式来测试软件。它让软件测试员理解黑客在受危害的机器上可能采取的攻击类别。

Russ说：“我们正努力掌握漏洞知识和推断串注入点的标准测试。”

这一技术消除了自动SQL注入漏洞评估过程中的误报情况。这一方法还可自动生成攻击代码。Core计划在它的网站上发布相应的研究论文。

目前，网站站长们有很多方法来测试他们网站上的代码错误。很多静态和动态代码分析工具能够用来查找可导致SQL注入的代码错误，尽管专家们称这些工具越来越先进，但其中的大多数工具还是存在很大的误差和很高的误报率。2008年的时候，SQL注入攻击非常严重，微软曾在公告中指出了几款可消除开发过程中错误的工具。

另外，组织机构可以限制用户的访问权限，在应用程序全面投入运营之前，通过应用静态代码分析来检测错误，以改进软件开发过程。而且可在SQL串导致底层数据库崩溃时，减少显示给用户的调试错误。

【编辑推荐】

1. Blue Coat扩充WebFilter数据库 抵御Web威胁
2. 抵御黑客入侵的七大妙招
3. 主动式网络安全策略抵御网络威胁
4. 网络安全知识之抵御黑客入侵的窍门
5. 正确抵御安全漏洞 细数云安全七宗罪