隨著信息網絡的發展,人們的信息安全意識日益提升,信息系統的安全防護措施也逐漸提高。通常在服務器的互聯網邊界處都會部署防火墻來隔離內外網絡,僅僅將外部需要的服務器端口暴露出來。采用這種措施可以大大的提高信息系統安全等級,對於外部攻擊者來說,就像關閉了所有無關的通路,僅僅留下壹個必要入口。但是仍然有壹類安全問題無法避免,就是web應用漏洞。 目前的大多數應用都是采用B/S模式,由於服務器需要向外界提供web應用,http服務是無法關閉的。web應用漏洞就是利用這個合法的通路,采用SQL註入、跨站腳本、表單破解等應用攻擊方式來獲取服務器的高級權限。在目前的網絡環境下,威脅最大的漏洞形式就是web應用漏洞,通常是攻擊者攻陷服務器的第壹步。常見的漏洞包括SQL註入、跨站腳本攻擊和編碼漏洞等,表單破解主要是針對服務器用戶的弱口令破解。從本質上來說,應用漏洞的形成原因是程序編寫時沒有對用戶的輸入字符進行嚴格的過濾,造成用戶可以精心構造壹個惡意字符串達到自己的目的。 溯雪是壹款國產軟件,主要的功能是進行表單破解。由於目前的應用多數采用B/S模式,登錄窗口也都采用表單提交的方式,使得基於傳統協議的暴力破解軟件沒有用武之地。針對此類應用,采用溯雪等基於表單的暴力破解軟件可以很好的進行弱口令掃描。
溯雪的工作原理是抽取目標網站中的表單元素,搜尋錯誤登錄時的錯誤標誌,然後采用字典填充其值並不斷提交嘗試獲得正確的連接。 Pangolin是壹款SQL註入測試工具,能夠自動化的進行註入漏洞的檢測,從檢測註入開始到最後控制目標系統都給出了測試步驟,是目前國內使用率最高的SQL註入測試軟件。支持的數據庫包括Access、DB2、Informix、Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQL Server 2008、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。