數據庫安全軟件廠商Sentrigo Inc.發布了新的開源fuzzing工具FuzzOr，用于識別Oracle數據庫軟件應用中的漏洞。Sentrigo的創始人之一兼首席技術官Slavik Markovich說，有了FuzzOr，Sentrigo即將創建一款可以允許數據庫管理員和程序員測試PL/SQL應用中的安全漏洞的工具。

Markovich說，其它的漏洞評估工具有代表性的修復一系列錯誤，而FuzzOr是動態的，因為它沒有于設置的清單。

Markovich說：“（FuzzOr）式不同的，因為我認為沒有其它可以做PL/SQL項目的工具了。FuzzOr掃描特殊的代碼并分析（代碼）尋找漏洞。”

Fuzzing：

SQL注入攻擊新趨勢警報研究人員：研究人員正在發現SQl注入攻擊的新趨勢，表明攻擊者發現攻擊新目標很容易。

Fuzzing應該是安全軟件開始程序的一部分嗎？fuzzing是一種常見的軟件測試方法，不能是你唯一的漏洞評估技術。Fuzzing可以有效地識別跨站腳本（XSS）漏洞嗎？fuzzing可以找到軟件中的漏洞，但是測試程序不能發現每個漏洞。Ed Skoudis解釋了當查找跨站腳本漏洞的時候需要的其它工具。

Oracle的安全專家，也是Oracle的安全網站PeteFinnigan.com的主管Pete Finnigan說FuzzOr是一款有用的工具，因為這是唯一免費分析PL/SQL中漏洞的實用工具。Finnigan說：“FuzzOr擁有優勢，因為有了FuzzOr，就不需要查看軟件代碼再分析了，不然你就要分解它，使其做不同的事情。”Finnigan說，數據庫管理員可能不能馬上理解FuzzOr，但是它的使用相當簡單，而且有簡單的使用方法。

他說：“你可以在一個項目或者單獨的一段代碼上運行 FuzzOr，所以它的運行非常簡單。（它）告訴用戶哪些代碼和參數容易受到工具，所以可以查看代碼，并查找如何修復。”

Finnigan說，這個工具在檢測與SQL注入和緩沖器負荷錯誤相關的漏洞方面也很理想，因為他們是使用PL/SQL編寫的最常見的漏洞。Finnigan說，FuzzOr檢測錯誤所用的時間是和它所運行的程序數量呈比例的，但是這種工具“相當快，不需要整晚都在運行。”

Finnigan它不能在產品內部運行，因為工具的工能不只是讀取。產品系統中使用的工具應該只能讀取，防止不期望的變化，因此，這和FuzzOr是矛盾的。

　　Markovich說，這種工具不能修正問題，它只是告訴用戶錯誤出在哪里。Markovich說，它并不作漏洞評估，檢測或者加密。

　　FuzzOr是免費的開源工具，也就是說許可證時GPL，而且只要用戶擁有許可證，就允許用戶改變或者增加代碼。

　　Finnigan說所有的DBA都可以在內部嘗試和使用的。

　　Finnigan說：“FuzzOr是免費的，可擴展的，而且是用腳本語言編寫的，軟件代碼是可以閱讀的——沒有隱藏的東西，你可以看到它的工作方式。”

【編輯推薦】