Fuzzingtool帮助OracleDBA删除SQL注入错误Oracle认证考试

文章作者 100test 发表时间 2010:01:19 17:52:28
来源 100Test.Com百考试题网


  数据库安全软件厂商Sentrigo Inc.发布了新的开源fuzzing工具FuzzOr,用于识别Oracle数据库软件应用中的漏洞。Sentrigo的创始人之一兼首席技术官Slavik Markovich说,有了FuzzOr,Sentrigo即将创建一款可以允许数据库管理员和程序员测试PL/SQL应用中的安全漏洞的工具。

Markovich说,其它的漏洞评估工具有代表性的修复一系列错误,而FuzzOr是动态的,因为它没有于设置的清单。

Markovich说:“(FuzzOr)式不同的,因为我认为没有其它可以做PL/SQL项目的工具了。FuzzOr扫描特殊的代码并分析(代码)寻找漏洞。”

Fuzzing:

SQL注入攻击新趋势警报研究人员:研究人员正在发现SQl注入攻击的新趋势,表明攻击者发现攻击新目标很容易。

Fuzzing应该是安全软件开始程序的一部分吗?fuzzing是一种常见的软件测试方法,不能是你唯一的漏洞评估技术。Fuzzing可以有效地识别跨站脚本(XSS)漏洞吗?fuzzing可以找到软件中的漏洞,但是测试程序不能发现每个漏洞。Ed Skoudis解释了当查找跨站脚本漏洞的时候需要的其它工具。

Oracle的安全专家,也是Oracle的安全网站PeteFinnigan.com的主管Pete Finnigan说FuzzOr是一款有用的工具,因为这是唯一免费分析PL/SQL中漏洞的实用工具。Finnigan说:“FuzzOr拥有优势,因为有了FuzzOr,就不需要查看软件代码再分析了,不然你就要分解它,使其做不同的事情。”Finnigan说,数据库管理员可能不能马上理解FuzzOr,但是它的使用相当简单,而且有简单的使用方法。

他说:“你可以在一个项目或者单独的一段代码上运行 FuzzOr,所以它的运行非常简单。(它)告诉用户哪些代码和参数容易受到工具,所以可以查看代码,并查找如何修复。”

Finnigan说,这个工具在检测与SQL注入和缓冲器负荷错误相关的漏洞方面也很理想,因为他们是使用PL/SQL编写的最常见的漏洞。Finnigan说,FuzzOr检测错误所用的时间是和它所运行的程序数量呈比例的,但是这种工具“相当快,不需要整晚都在运行。”

Finnigan它不能在产品内部运行,因为工具的工能不只是读取。产品系统中使用的工具应该只能读取,防止不期望的变化,因此,这和FuzzOr是矛盾的。

Markovich说,这种工具不能修正问题,它只是告诉用户错误出在哪里。Markovich说,它并不作漏洞评估,检测或者加密。

FuzzOr是免费的开源工具,也就是说许可证时GPL,而且只要用户拥有许可证,就允许用户改变或者增加代码。

Finnigan说所有的DBA都可以在内部尝试和使用的。

Finnigan说:“FuzzOr是免费的,可扩展的,而且是用脚本语言编写的,软件代码是可以阅读的——没有隐藏的东西,你可以看到它的工作方式。”



相关文章


Oracle中通过存储过程中返回数据集Oracle认证考试
Oracle数据库中时间处理Oracle认证考试
把Oracle表中的数据导出成Txt格式Oracle认证考试
数据库主要的系统表和数据字典视图Oracle认证考试
Fuzzingtool帮助OracleDBA删除SQL注入错误Oracle认证考试
安装OracleRAC使用NFS作为共享存储Oracle认证考试
Oracle自增ID实现Oracle认证考试
oracle创建自动增长列、触发器Oracle认证考试
Oracle正则表达式中注意的问题Oracle认证考试
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛