windows 7旗舰版SQL注入攻击潜伏在Web服务器上的数据库(独立的供应商,但在windows 7旗舰版上,焦点IIS和SQL Server),微软是个援手对抗威胁。据Redmond公司,一个新的攻击出现在2007年底的品种不显示任何放缓迹象。同时,微软获悉,经过广泛的调查,已确定的SQL注入攻击是不是风暴在其产品中的安全漏洞,补丁或零天,而是设计的Web应用程序上运行的数据库。
“恶意SQL负载设计得非常好,有些数据库无关的,一般可以妥协很多数据库服务器的可能,“通知Michael Howard,高级安全项目经理在安全工程集团微软。”当攻击是SQL注入攻击,攻击和威胁的后端数据库礼貌脆弱的Web页面,从用户的角度来看,真正的攻击被入侵的网页服务的恶意软件攻击的用户通过他们的浏览器。”
霍华德的立场是,既然有厂商处理没有漏洞,微软收录保证数据库保护的最好方法是尽可能安全的代码。根据霍华德的说法,微软的安全开发生命周期可以通过帮助防弹脆弱的数据库SQL参数化查询,存储过程和SQL执行允许微软否认安全漏洞在Windows、IIS、SQL Server或任何基础设施代码负责SQL注入攻击的加速率。同时,该公司指出,一个恶意的工具可在野外和设计自动化SQL注入攻击,以及在传播恶意程序的过程中引进的技术。微软的安全漏洞研究与国防博客有建议清单它/数据库管理员、网站开发人员,以及最终用户。
“从去年下半年开始,很多网站被污损包括恶意的HTML <脚本>标签中的文字,存储在SQL数据库中,用于生成动态网页,”透露的svrd团队的一员。”一旦服务器被污损使用这种攻击,它将包括一个恶意脚本> <标签指向一个.js文件。虽然这些文件的内容不同,他们都试图利用各种漏洞已经修补漏洞和脆弱,包括微软的第三方ActiveX控件。由于这些脚本是独立托管的,它是可能的,脚本可以迅速改变,以利用新的客户端漏洞,可以很容易地针对目标的“每浏览器”的基础上。
此外,Bala Neerumalla,微软的安全软件开发商,撰写了一份白皮书题为“防止ASP“SQL注入针对开发商。所有的资源可由Redmond公司力求突出一系列最佳实践,旨在防止SQL注入攻击。
……