阻止網頁掛馬的若干安全測試掃描工具

　　今天，微軟和惠普的安全部門合作發布了三個工具，分別是：

　　微軟SQL注入攻擊源碼掃描器：Microsoft Source Code Analyzer for SQLInjection(MSCASI)。這個工具給網站開發人員使用。是一個靜態掃描ASP代碼的工具，可以查找發現第一類和第二類的SQL注入攻擊漏洞。工具下載地址：

　　http://support.microsoft.com/kb/954476

　　惠普的Scrawlr工具。這個工具可以被網站的維護人員使用，是一個黑箱掃描工具，不需要源代碼。指定起始URL開始掃描。確定是不能準確定位代碼的漏洞(因為是黑箱測試)。工具下載地址：

　　http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

　　微軟的URLScan3.0Beta。這個工具可以被網站的維護人員使用。它是一個輸入過濾工具。如果你發現網站被SQL注入工具，你可以在一邊修補代碼漏洞的同時，使用這個攻擊在過濾掉惡意的輸入。當然，修補代碼中的漏洞是完全避免SQL注入攻擊的真正解決方案。工具下載地址：

　　http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx

　　SWI的博客上有更進一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx

　　那么，這三個工具是如何配合使用的?下面給出一個例子。

　　步驟一：網站的維護人員使用Scrawlr掃描網站，檢查是否存在SQL注入漏洞

　　步驟二：發現存在漏洞后，通知開發人員。開發人員使用MSCASI對ASP源碼靜態掃描來確定代碼中什么地方導致的SQL注入攻擊漏洞。

　　步驟三：在開發人員修補漏洞的同時，維護人員可以使用URLScan來過濾可能的惡意輸入，以確保網站的安全。

　　這三個工具的配合使用可以很大程度上減少網站被掛馬的可能。說實話，現在被掛馬的網站實在是太多了!

原文轉自：http://www.anti-gravitydesign.com