SQL注入漏洞是IT安全的阿喀琉斯之踵

最近,来自俄罗斯和乌克兰的五名嫌犯被起诉涉嫌盗窃超过一亿六千万信用卡号码和其他财务数据,受害企业包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起诉书上显示,在2005年到2012年七年的时间中,嫌犯共盗取受害者达3亿美元的资产。

创新互联建站专业为企业提供大同网站建设、大同做网站、大同网站设计、大同网站制作等企业网站建设、网页设计与制作、大同企业网站模板建站服务,十多年大同做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

从该事件中我们了解到,在大多数情况下,黑客们并没有采用特别复杂的方法来入侵企业网络。通常是通过SQL注入漏洞来发动攻击,而这个漏洞的存在已经超过十年之久。

例如,NASDAQ网络最初遭受攻击是源自在线密码提醒页面上的SQL注入漏洞,这个漏洞可以让黑客们未经授权而进入到公司的网络系统,最终控制整个网络系统。

通过SQL注入攻击,黑客们利用编码较差的Web应用软件在企业的系统和网络中安装恶意代码。当web应用程序没能正确过滤或验证用户输入的数据,例如网上购物或重设密码时,这个漏洞就可能被利用。

黑客可以利用输入验证错误来发送伪造SQL查询到底层数据库,从而入侵数据库,安装恶意代码,或入侵网络上的其他系统。

SQL注入漏洞一旦发现,很容易修复。但IT专业人员面临的挑战是去哪里查找这些漏洞。在大型web应用程序中,用户可以在上百处地方输入数据,每一个都可能为黑客提供机会。

多年来,黑客一直在利用SQL注入漏洞,因为这种漏洞比较容易掌握。近年来,SQL注入攻击是黑客们入侵网络最受欢迎的方法之一。

一些安全专家和组织(例如支付卡行业安全委员会)长期以来一直在敦促企业彻底扫描web应用程序中的这种漏洞。他们建议使用web应用防火墙来缓解这种威胁。

PCI委员会要求企业进行全面的源代码分析来扫除这些漏洞,或者使用web应用程序防火墙。

即便如此,很多公司仍然未能全面部署这些措施来缓解SQL注入威胁,Gartner分析师Avivah Litan说,“SQL注入攻击之所以能够成功,是因为企业并没有部署足够好的保护。”

Litan表示,虽然企业知道应用程序代码审查和部署应用防火墙的必要,但很多企业因为资源问题往往忽略了这些问题。

“企业没有部署这些措施是因为,他们已经不堪重负,他们没有足够的资金和资源来解决SQL问题,”她表示,“企业非常需要进行预算优先排序,并解决组织孤岛问题。”

应用安全公司WhiteHat Security创始人兼首席技术官Jeremiah Grossman表示,很多企业的软件开发资源已经完全耗尽了。

“你的编程员需要不断为客户推出新功能,以确保为企业创收。如果他们慢下来,或者做别的工作,例如修复其代码中的漏洞,这肯定会牺牲他们开发新功能的时间,所以他们当然没有足够的时间和资源来做所有的事情。”

“对于SQL注入漏洞问题,我们了解它也知道如何修复它,但是核心问题是SQL漏洞的规模以及开发资源限制。”(编译/邹铮)

网站题目:SQL注入漏洞是IT安全的阿喀琉斯之踵
本文来源:http://www.shufengxianlan.com/qtweb/news42/124642.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联