微软周五宣布,使用Microsoft IIS Web Server与Microsoft SQLServer的网站遭到大量SQL注入式攻击与其编码处理过程无关。
微软某经理BillSisk在博客中写道,“那些攻击都是SQL注入式的,与IIS6.0、ASP、ASP.Net或者微软SQL技术无关。SQL注入式攻击可以使恶意用户在应用程序数据库里执行命令。”
SQL注入式攻击是在用户输入时,编码提交给SQL数据库时未经过完全过滤而导致的。
周五U.S.CERT发表预警,表示很多合法网站都受到SQL注入式攻击。受影响的网站都含有被注入的JavaScript,试图触发一些已知的弱点。U.S.CERT建议禁用JavaScript和ActiveX。
周四电脑安全公司F-Secure表示其发现超过五十万网页都倍恶意JavaScript代码攻击。该公司表示,IT管理员应该立刻阻止nmidahena.com、aspder.com和nihaorr1.com这三个可以链接到恶意攻击的域名。
谷歌可能会将受影响的页面从其索引中去除。在谷歌中搜索恶意JavaScript现在只能得出56700个结果,而根据上周的屏幕截图,同样的关键字当时得出了51万个结果。而在微软的Live搜索页面中同样的关键字可以搜索到26.8万个结果。雅虎搜索则给出了56万个搜索结果。
F-Secure安全调查员PatrickRunald在博客中解释说,该攻击会在数据库中找到所有的文本,并且给其加上恶意JavaScript的链接,然后自动在网站中显示出来。
Runald重申了Sisk的观点,表示编写不当的ASP以及ASPX(.net)才是网站受到恶意攻击的主要原因,而不是微软的软件。
