日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
檢測在線數(shù)據(jù)庫SQL注入漏洞的利器:HP Scrawlr

【.com獨家翻譯】您需要是不是正要檢測在線數(shù)據(jù)庫的漏洞呢?正好,HP為我們提供了一個免費工具來檢測網(wǎng)站是否存在SQL注入漏洞。HP Scrawlr能夠爬行您的站點,以查找代碼中的安全漏洞。這款軟件是免費的,并且很容易上手。

引言

SQL數(shù)據(jù)庫是目前世界上最快的一種數(shù)據(jù)庫,每秒鐘可以完成數(shù)百萬次的事務(wù)處理。使用PHP和ASP代碼處理SQL連接的時候,如果代碼寫的不好的話,就會為網(wǎng)站的安全留下隱患:黑客可以通過插入代碼來獲得您的服務(wù)器上數(shù)據(jù)庫的控制權(quán)。所以,一定要保護好您的SQL數(shù)據(jù)庫。測試軟件和網(wǎng)絡(luò)的安全性應(yīng)該成為安全審計的一部分。HP為我們提供了掃描網(wǎng)站的SQL漏洞的免費軟件。Scrawlr只可用于合法地掃描您自己的站點,而不得用于您的組織之外的站點。安全分析人員進行滲透測試時,應(yīng)當將這款軟件也納入到他們的安全工具庫中。

HP Scrawlr

Hewlett Packard公司提供了一款免費的工具,供人們用來爬行他們的站點,并從中查找安全漏洞。Scrawlr是由HP的web安全研究團隊開發(fā)的,可用于對單獨的網(wǎng)頁進行SQL注入漏洞的檢測和利用。這個程序運行速度非???;在運行期間,它可以利用HP的智能引擎技術(shù)來創(chuàng)建和動態(tài)執(zhí)行SQL注入。最后,它還能提高一份簡單的報告來供管理員分析有關(guān)結(jié)果。如果該程序成功的話,您就會看到數(shù)據(jù)庫和各種表。

Scrawlr

下面是Scrawlr的兩個截圖:

SQL注入

黑客可以使用簡單的SQL命令來進行插入、刪除操作,甚至能控制整個數(shù)據(jù)庫。黑客可以先在web中查找數(shù)據(jù)庫,然后通過簡單的注入命令來返回機密數(shù)據(jù),并將其復制粘貼到自己的機器中。下面是一個簡單的SQL注入范例:

下面我們來繞過登錄表單。這里是來自實際應(yīng)用代碼片段:

SQLQuery = "SELECT Username FROM Users WHERE

Username = ‘" &

strUsername & "‘ AND Password = ‘" & strPassword & "‘"

strAuthCheck = GetQueryResult(SQLQuery)

If strAuthCheck = "" Then

boolAuthenticated = False

Else

boolAuthenticated = True

End If

這是一個典型的登錄處理,終端用戶來到站點,然后提交他們的用戶名和口令。隨后,這個查詢從“Users”表中尋找是否有與提供的用戶名和口令匹配的記錄。對于糟糕的ASP代碼或者PHP代碼,黑客將能使用下列類型的代碼來發(fā)動進攻。

注入代碼:

用戶名:‘ OR ‘‘=‘

口令:‘ OR ‘‘=‘

這個會使SQLQuery變成下面的樣子:

SELECT Username FROM Users WHERE Username = ‘‘

OR ‘‘=‘‘ AND

Password = ‘‘ OR ‘‘=‘‘

這樣,黑客只是在應(yīng)該輸入有效用戶名的地方鍵入了一個字符串:‘ OR ‘‘=‘,就輕而易舉地繞過了登錄屏。

結(jié)束語

執(zhí)行SQL注入的方法數(shù)以千計,這里介紹的并不是理想的“黑客”代碼。本文不是關(guān)于黑客技術(shù)的,而是關(guān)于如何保護您的網(wǎng)站的。 HP只是眾多能夠保護您的網(wǎng)站中的工具之一。對于保護您的信息資產(chǎn)來說,滲透測試是一種重要的手段。它不僅有助于測試代碼,而且還能幫您測試防火墻。不過Scrawlr軟件也有其不足之處,例如:

?最多只能爬行1500個URL地址

?在爬行期間無法進行腳本解析

?在爬行期間無法解析Flash

?在爬行期間無法提交表單

?僅有簡單的代理支持

?沒有身份驗證或者登錄功能

?不能檢測SQL盲注

任何軟件都不是十全十美的,但是它們對于安全漏洞和漏洞利用測試來說確實是非常有幫助的。如果站點僅通過了一種安全軟件的測試,就以為高枕無憂那就太盲目了。感謝HP有為我們帶來了一個軟件“幫手”!

該工具下載地址:https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA

【.com獨家翻譯,轉(zhuǎn)載請注明作者及出處】


當前題目:檢測在線數(shù)據(jù)庫SQL注入漏洞的利器:HP Scrawlr
新聞來源:http://www.dlmjj.cn/article/dpiogoj.html