科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道数据安全Fuzzing tool帮助Oracle DBA删除SQL注入错误

Fuzzing tool帮助Oracle DBA删除SQL注入错误

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

数据库安全软件厂商Sentrigo Inc.发布了新的开源fuzzing工具FuzzOr,用于识别Oracle数据库软件应用中的漏洞。Sentrigo的创始人之一兼首席技术官Slavik Markovich说,有了FuzzOr,Sentrigo即将创建一款可以允许数据库管理员和程序员测试PL/SQL应用中的安全漏洞的工具。

来源:比特网 2009年12月18日

关键字: 数据保护 ORACLE

  • 评论
  • 分享微博
  • 分享邮件

  数据库安全软件厂商Sentrigo Inc.发布了新的开源fuzzing工具FuzzOr,用于识别Oracle数据库软件应用中的漏洞。Sentrigo的创始人之一兼首席技术官Slavik Markovich说,有了FuzzOr,Sentrigo即将创建一款可以允许数据库管理员和程序员测试PL/SQL应用中的安全漏洞的工具。

  Markovich说,其它的漏洞评估工具有代表性的修复一系列错误,而FuzzOr是动态的,因为它没有于设置的清单。

  Markovich说:“(FuzzOr)式不同的,因为我认为没有其它可以做PL/SQL项目的工具了。FuzzOr扫描特殊的代码并分析(代码)寻找漏洞。”

  Fuzzing:

  SQL注入攻击新趋势警报研究人员:研究人员正在发现SQl注入攻击的新趋势,表明攻击者发现攻击新目标很容易。

  Fuzzing应该是安全软件开始程序的一部分吗?fuzzing是一种常见的软件测试方法,不能是你唯一的漏洞评估技术。Fuzzing可以有效地识别跨站脚本(XSS)漏洞吗?fuzzing可以找到软件中的漏洞,但是测试程序不能发现每个漏洞。Ed Skoudis解释了当查找跨站脚本漏洞的时候需要的其它工具。

  Oracle的安全专家,也是Oracle的安全网站PeteFinnigan.com的主管Pete Finnigan说FuzzOr是一款有用的工具,因为这是唯一免费分析PL/SQL中漏洞的实用工具。Finnigan说:“FuzzOr拥有优势,因为有了FuzzOr,就不需要查看软件代码再分析了,不然你就要分解它,使其做不同的事情。”Finnigan说,数据库管理员可能不能马上理解FuzzOr,但是它的使用相当简单,而且有简单的使用方法。

  他说:“你可以在一个项目或者单独的一段代码上运行 FuzzOr,所以它的运行非常简单。(它)告诉用户哪些代码和参数容易受到工具,所以可以查看代码,并查找如何修复。”

  Finnigan说,这个工具在检测与SQL注入和缓冲器负荷错误相关的漏洞方面也很理想,因为他们是使用PL/SQL编写的最常见的漏洞。Finnigan说,FuzzOr检测错误所用的时间是和它所运行的程序数量呈比例的,但是这种工具“相当快,不需要整晚都在运行。”

  Finnigan它不能在产品内部运行,因为工具的工能不只是读取。产品系统中使用的工具应该只能读取,防止不期望的变化,因此,这和FuzzOr是矛盾的。

  Markovich说,这种工具不能修正问题,它只是告诉用户错误出在哪里。Markovich说,它并不作漏洞评估,检测或者加密。

  FuzzOr是免费的开源工具,也就是说许可证时GPL,而且只要用户拥有许可证,就允许用户改变或者增加代码。

  Finnigan说所有的DBA都可以在内部尝试和使用的。

  Finnigan说:“FuzzOr是免费的,可扩展的,而且是用脚本语言编写的,软件代码是可以阅读的——没有隐藏的东西,你可以看到它的工作方式。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章