数据库安全软件厂商Sentrigo Inc.发布了新的开源fuzzing工具FuzzOr，用于识别Oracle数据库软件应用中的漏洞。Sentrigo的创始人之一兼首席技术官Slavik Markovich说，有了FuzzOr，Sentrigo即将创建一款可以允许数据库管理员和程序员测试PL/SQL应用中的安全漏洞的工具。

　　Markovich说，其它的漏洞评估工具有代表性的修复一系列错误，而FuzzOr是动态的，因为它没有于设置的清单。

　　Markovich说：“(FuzzOr)式不同的，因为我认为没有其它可以做PL/SQL项目的工具了。FuzzOr扫描特殊的代码并分析(代码)寻找漏洞。”

　　Fuzzing：

　　SQL注入攻击新趋势警报研究人员：研究人员正在发现SQl注入攻击的新趋势，表明攻击者发现攻击新目标很容易。

　　Fuzzing应该是安全软件开始程序的一部分吗?fuzzing是一种常见的软件测试方法，不能是你唯一的漏洞评估技术。Fuzzing可以有效地识别跨站脚本(XSS)漏洞吗?fuzzing可以找到软件中的漏洞，但是测试程序不能发现每个漏洞。Ed Skoudis解释了当查找跨站脚本漏洞的时候需要的其它工具。

　　Oracle的安全专家，也是Oracle的安全网站PeteFinnigan.com的主管Pete Finnigan说FuzzOr是一款有用的工具，因为这是唯一免费分析PL/SQL中漏洞的实用工具。Finnigan说：“FuzzOr拥有优势，因为有了FuzzOr，就不需要查看软件代码再分析了，不然你就要分解它，使其做不同的事情。”Finnigan说，数据库管理员可能不能马上理解FuzzOr，但是它的使用相当简单，而且有简单的使用方法。

　　他说：“你可以在一个项目或者单独的一段代码上运行 FuzzOr，所以它的运行非常简单。(它)告诉用户哪些代码和参数容易受到工具，所以可以查看代码，并查找如何修复。”

　　Finnigan说，这个工具在检测与SQL注入和缓冲器负荷错误相关的漏洞方面也很理想，因为他们是使用PL/SQL编写的最常见的漏洞。Finnigan说，FuzzOr检测错误所用的时间是和它所运行的程序数量呈比例的，但是这种工具“相当快，不需要整晚都在运行。”

　　Finnigan它不能在产品内部运行，因为工具的工能不只是读取。产品系统中使用的工具应该只能读取，防止不期望的变化，因此，这和FuzzOr是矛盾的。

　　Markovich说，这种工具不能修正问题，它只是告诉用户错误出在哪里。Markovich说，它并不作漏洞评估，检测或者加密。

　　FuzzOr是免费的开源工具，也就是说许可证时GPL，而且只要用户拥有许可证，就允许用户改变或者增加代码。

　　Finnigan说所有的DBA都可以在内部尝试和使用的。

　　Finnigan说：“FuzzOr是免费的，可扩展的，而且是用脚本语言编写的，软件代码是可以阅读的——没有隐藏的东西，你可以看到它的工作方式。”

(实习编辑：白瑞)

(责任编辑：admin)