数据库安全软件厂商sentrigo inc.发布了新的开源fuzzing工具fuzzor，用于识别oracle数据库软件应用中的漏洞。sentrigo的创始人之一兼首席技术官slavik markovich说，有了fuzzor，sentrigo即将创建一款可以允许数据库管理员和程序员测试pl/sql应用中的安全漏洞的工具。

markovich说，其它的漏洞评估工具有代表性的修复一系列错误，而fuzzor是动态的，因为它没有于设置的清单。

markovich说：“(fuzzor)式不同的，因为我认为没有其它可以做pl/sql项目的工具了。fuzzor扫描特殊的代码并分析(代码)寻找漏洞。”

fuzzing：

sql注入攻击新趋势警报研究人员：研究人员正在发现sql注入攻击的新趋势，表明攻击者发现攻击新目标很容易。

fuzzing应该是安全软件开始程序的一部分吗?fuzzing是一种常见的软件测试方法，不能是你唯一的漏洞评估技术。fuzzing可以有效地识别跨站脚本(xss)漏洞吗?fuzzing可以找到软件中的漏洞，但是测试程序不能发现每个漏洞。ed skoudis解释了当查找跨站脚本漏洞的时候需要的其它工具。

oracle的安全专家，也是oracle的安全网站petefinnigan.com的主管pete finnigan说fuzzor是一款有用的工具，因为这是唯一免费分析pl/sql中漏洞的实用工具。finnigan说：“fuzzor拥有优势，因为有了fuzzor，就不需要查看软件代码再分析了，不然你就要分解它，使其做不同的事情。”finnigan说，数据库管理员可能不能马上理解fuzzor，但是它的使用相当简单，而且有简单的使用方法。

他说：“你可以在一个项目或者单独的一段代码上运行 fuzzor，所以它的运行非常简单。(它)告诉用户哪些代码和参数容易受到工具，所以可以查看代码，并查找如何修复。”

finnigan说，这个工具在检测与sql注入和缓冲器负荷错误相关的漏洞方面也很理想，因为他们是使用pl/sql编写的最常见的漏洞。finnigan说，fuzzor检测错误所用的时间是和它所运行的程序数量呈比例的，但是这种工具“相当快，不需要整晚都在运行。”

finnigan它不能在产品内部运行，因为工具的工能不只是读取。产品系统中使用的工具应该只能读取，防止不期望的变化，因此，这和fuzzor是矛盾的。

markovich说，这种工具不能修正问题，它只是告诉用户错误出在哪里。markovich说，它并不作漏洞评估，检测或者加密。

fuzzor是免费的开源工具，也就是说许可证时gpl，而且只要用户拥有许可证，就允许用户改变或者增加代码。

finnigan说所有的dba都可以在内部尝试和使用的。

finnigan说：“fuzzor是免费的，可扩展的，而且是用脚本语言编写的，软件代码是可以阅读的――没有隐藏的东西，你可以看到它的工作方式。”

(实习编辑：白瑞)