听中国有声小说,辰东

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

SQL注入攻擊的沉重代價

前段時間有一起敏感的黑客事件被曝光，一個叫“Team Digi7al”的黑客組織被關(guān)閉，原因是他們的一名成員攻擊了美國海軍的web應(yīng)用“Smart Web Move”。此次攻擊造成美國海軍數(shù)據(jù)庫超過22萬服役人員的個人信息被泄露。這次黑客攻擊的攻擊手段是什么？—— SQL注入。

創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站制作、做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的華陰網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

前段時間，我們曾撰文回應(yīng)在Dark Reading網(wǎng)站上發(fā)表的一篇關(guān)于IPS的統(tǒng)計報告，該報告展示了超過十年的攻擊緩解數(shù)據(jù)，卻漏掉了一個非常關(guān)鍵的數(shù)據(jù)值——應(yīng)用攻擊。絕大部分web應(yīng)用攻擊，包括SQL注入在內(nèi)，都在這份報告中被忽視掉了。但不幸的是，web應(yīng)用攻擊在現(xiàn)實(shí)中廣泛存在。

2014年Verizon數(shù)據(jù)泄露調(diào)查報告中揭示了web應(yīng)用攻擊數(shù)量是如何增長的，指出“web應(yīng)用已成為網(wǎng)絡(luò)攻擊眾所周知的靶心目標(biāo)”。這種說法或許聽起來很大膽，但事實(shí)的確如此。

· SQL注入攻擊的代價是什么？

隨著web應(yīng)用攻擊日漸增多，我們不得不思考SQL注入攻擊的代價。

在ArsTechnica的一篇文章中，Goodin提到美國海軍花費(fèi)了超過50萬美元（超過300萬人民幣）來處理這一次的數(shù)據(jù)泄露事故?；蛟S對某些讀者來說這是個瞠目的數(shù)字，然而在NTT集團(tuán)發(fā)布的2014全球威脅情報報告中卻指出一個殘酷的事實(shí)——“企業(yè)對一次小規(guī)模SQL注入攻擊的平均善后開支，通常超過19萬6千美元（超過120萬人民幣）”。

50萬美金算是讓美國海軍為這次SQL注入攻擊導(dǎo)致的數(shù)據(jù)泄露事故付出了沉重代價。不過，由于安全意識的缺乏和對應(yīng)用安全的忽視，SQL注入攻擊依然是黑客們賺錢的好方法。

· SQL注入的現(xiàn)實(shí)

SQL注入絕不是一個過時的安全問題。作為一種非常容易被利用的攻擊向量，SQL注入并不需要高級的攻擊技術(shù)便可以盜取信息。事實(shí)上，由于SQL注入攻擊非常高效，高級黑客往往利用自動化的SQL注入工具制造僵尸，建立可以自動攻擊的僵尸網(wǎng)絡(luò)。

通過Imperva的ThreatRadar眾包威脅情報系統(tǒng)的社區(qū)防御服務(wù)，我們可以了解SQL注入的第一手信息。據(jù)我們在過去一個月內(nèi)全球發(fā)生的30萬起攻擊事件中的抽樣數(shù)據(jù)顯示，24.6%的襲擊是由SQL注入造成的。

SQL注入攻擊并不會在短時間內(nèi)消停，其背后的web應(yīng)用攻擊更是一個迫在眉睫的、代價昂貴的重大威脅，處理一次web應(yīng)用安全事故要花掉超過20萬美元。企業(yè)須意識到，部署web應(yīng)用攻擊緩解策略是必要的、也是首要的安全任務(wù)，這是保護(hù)企業(yè)數(shù)據(jù)安全關(guān)鍵的一步。

網(wǎng)站名稱：SQL注入攻擊的沉重代價
網(wǎng)址分享：http://fisionsoft.com.cn/article/dpjjgii.html

新聞中心

其他資訊