站长关注：大量网站遭SQL注入式攻击

微软周五公布，使用MicrosoftIISWebServer与MicrosoftSQLServer的网站遭到大量SQL注入式攻击与其编码处理过程无关。

微软某经理BillSisk在博客中写道，“那些攻击都是SQL注入式的，与IIS6.0、ASP、ASP.Net或者微软SQL技术无关。SQL注入式攻击可以使恶意用户在应用程序数据库里执行命令。”

SQL注入式攻击是在用户输入时，编码提交给SQL数据库时未经过完全过滤而导致的。

周五U.S.CERT发表预警，表示很多合法网站都受到SQL注入式攻击。受影响的网站都含有被注入的JavaScript，试图触发一些已知的弱点。U.S.CERT建议禁用JavaScript和ActiveX。

周四电脑安全公司F-Secure表示其发现超过五十万网页都倍恶意JavaScript代码攻击。该公司表示，IT治理员应该马上阻止nmidahena.com、aspder.com和nihaorr1.com这三个可以链接到恶意攻击的域名。

谷歌可能会将受影响的页面从其索引中去除。在谷歌中搜索恶意JavaScript现在只能得出56700个结果，而根据上周的屏幕截图，同样的要害字当时得出了51万个结果。而在微软的Live搜索页面中同样的要害字可以搜索到26.8万个结果。雅虎搜索则给出了56万个搜索结果。

F-Secure安全调查员PatrickRunald在博客中解释说，该攻击会在数据库中找到所有的文本，并且给其加上恶意JavaScript的链接，然后自动在网站中显示出来。

Runald重申了Sisk的观点，表示编写不当的ASP以及ASPX(.net)才是网站受到恶意攻击的主要原因，而不是微软的软件。