新工具阻断和根除SQL注入 | MSRC博客
微软安全响应中心今日发布公告,讨论近期SQL注入攻击,并宣布三款新工具帮助识别和阻断此类漏洞。公告详细介绍了这些新工具、各自用途及如何互补使用。本文旨在根据您的角色(如Web开发者 vs. IT管理员)帮助选择最适合的工具。
Web开发者推荐
Microsoft Source Code Analyzer for SQL Injection (MSCASI) 是一款静态代码分析工具,用于识别ASP代码中的SQL注入漏洞(ASP页面是近期攻击的主要目标)。运行MSCASI需要源代码访问权限,工具将输出易受SQL注入攻击的区域(即识别根本原因和漏洞路径)。我们认为,修复漏洞的根本原因是最佳根除方式。MSCASI扫描ASP源代码,并对一阶和二阶SQL注入漏洞生成警告。详情请参考SQL团队博客和KB 954476。
IT/数据库管理员推荐(也适用于Web开发者)
我们推荐今日发布的两款新工具。一款通过爬取网站识别SQL注入漏洞,另一款通过过滤恶意请求阻断潜在SQL注入攻击。如果您无法访问源代码,网站爬虫工具将非常有用。
微软与HP Web安全研究小组合作发布Scrawlr工具。该工具将爬取网站,同时分析每个单独网页的参数以检测SQL注入漏洞。Scrawlr使用部分与HP WebInspect相同的技术,但专注于SQL注入漏洞。这使得IT/DB管理员能够轻松发现类似近期攻击中用于入侵网站的漏洞。运行此工具无需源代码。工具从起始URL递归爬取,构建站点树,然后分析SQL注入漏洞。更多信息请查看HP Web安全研究博客。
为阻断和缓解SQL注入攻击(在修复根本原因期间),您还可以使用新发布的URLScan 3.0部署SQL过滤器。此工具限制Internet Information Services (IIS)处理的HTTP请求类型。通过阻断特定HTTP请求,UrlScan帮助防止潜在有害请求在服务器上执行。它使用一组关键字阻断某些请求。如果检测到恶意请求,过滤器将丢弃该请求,SQL不会处理。也就是说,如果已识别SQL注入缺陷,我们强烈建议修复根本原因,而非尝试创建完美过滤器(因为我们认为这容易出错)。详情请参考两篇IIS博客文章(1、2)和技术文档。
工具优缺点总结
| 工具 | 用途 | 优点 | 缺点 | 用户 |
|---|---|---|---|---|
| MSCASI | 通过静态源代码分析识别ASP代码中的SQL注入漏洞 | 在源代码级别识别漏洞根本原因 | 当前版本仅适用于ASP页面 | Web开发者 |
| Scrawlr | 通过爬取网站进行运行时分析检测SQL漏洞 | 无需源代码 | 无法识别负责的代码行 | IT/DB管理员、Web开发者 |
| UrlScan v3.0 Beta | 运行时过滤,阻断IIS处理的HTTP请求类型 | 可轻松部署以缓解SQL注入攻击,同时修复根本原因 | 未修复根本原因,风险未完全消除 | IT管理员 |
SQL注入 | 工具