中新浙江网4月30日电 　　微软周五宣布，使用Microsoft IIS Web Server与MicrosoftSQLServer的网站遭到大量SQL注入式攻击与其编码处理过程无关。

　　微软某经理BillSisk在博客中写道，“那些攻击都是SQL注入式的，与IIS6.0、ASP、ASP.Net或者微软SQL技术无关。

　　SQL注入式攻击可以使恶意用户在应用程序数据库里执行命令。”

　　SQL注入式攻击是在用户输入时，编码提交给SQL数据库时未经过完全过滤而导致的。

　　周五U.S.CERT发表预警，表示很多合法网站都受到SQL注入式攻击。受影响的网站都含有被注入的t，试图触发一些已知的弱点。U.S.CERT建议禁用t和ActiveX。

　　周四电脑安全公司F-Secure表示其发现超过五十万网页都倍恶意t代码攻击。该公司表示，IT管理员应该立刻阻止nmidahena.com、aspder.com和nihaorr1.com这三个可以链接到恶意攻击的域名。

　　谷歌可能会将受影响的页面从其索引中去除。在谷歌中搜索恶意t现在只能得出56700个结果，而根据上周的屏幕截图，同样的关键字当时得出了51万个结果。而在微软的Live搜索页面中同样的关键字可以搜索到26.8万个结果。雅虎搜索则给出了56万个搜索结果。

　　F-Secure安全调查员PatrickRunald在博客中解释说，该攻击会在数据库中找到所有的文本，并且给其加上恶意t的链接，然后自动在网站中显示出来。

　　Runald重申了Sisk的观点，表示编写不当的ASP以及ASPX(.net)才是网站受到恶意攻击的主要原因，而不是微软的软件。

　　作者：sowot

责任编辑：孙英