自动SQL注入:企业需要了解什么(一)

日期: 2008-07-28 作者:Shawna McAlearney翻译:李娜娜 来源:TechTarget中国 英文

专家称,SQL注入攻击可能马上会和那些以Windows和Unix漏洞为目标的攻击一样普遍。据估计,使用动态内容的网络应用程序中,60%很有可能受到攻击,并为企业带来毁灭性的后果。这周,在拉斯维加斯举行的Black Hat Briefings上将有一次陈述:介绍以SQL注入漏洞为目标的自动攻击。对SPI Dynamics的技术总监Caleb Sima进行了面对面的采访,他将会告诉你:应该担心什么,为何要减轻风险,以及如何减轻风险。


  TechTarget:请您用基本的术语描述一下,什么是SQL注入漏洞,以及它会带来什么样的威胁?


Caleb Sima

SPI Dynamics 的技术总监,Caleb Sima(以下简称SIMA):当外部输入直接传输到SQL字符串和数据库中时,就会产生SQL注入漏洞。这就使得攻击者可以附带使SQL命令在那个字符串上起作用,并且操作或者窃取数据库信息,或者执行系统命令。


  TechTarget:您认为有多少网站受到了SQL注入漏洞的影响?


  SIMA:这个漏洞极其普遍,很可能是最大的漏洞之一。它与语言无关。SQL注入可以发生在JSP、ASP、PHP、以及其它语言。SQL注入也能发生在Oracle数据库中。仅从ASP角度来说,我敢说95%的网址似乎都容易受到SQL注入攻击。使用动态内容的网络应用程序中,可能60%也容易受到攻击。


  TechTarget: SQL注入漏洞会对企业产生什么影响?


  SIMA: SQL注入漏洞具有相当高风险的影响力——并且是破坏性的。如果某个企业的网站中SQL注入存在漏洞,那么任何具备一定知识的攻击者,都可以直接从网络服务器上引用整个后端数据库。


  今天的大多数IDS很难检测到SQL注入攻击。因此,如果在网络服务器或者网络的前端有IDS或者ISP设备,它并不能真正地阻止SQL注入。由于网络服务器允许与数据库通信,而且和命令进行传送到数据库服务器,如果数据库处于网络的内部,影响也是一样的。这就意味着直接从因特网便可以很容易地破坏内部网络。SQL注入问题很重要。


  TechTarget:您已经讲述了大量可能的攻击目标。攻击者是否有办法可以减少易受到攻击网站的列表?


  SIMA“Google hacking”——使用搜索引擎来定位易受攻击的站点——是一种古老的方式,但却日益流行。使用特定的搜索请求和对照信息,攻击者就可以确定使用SQL注入的站点,并且接着进一步减小搜索结果,进而定位易受攻击的站点和活跃目标。依攻击者的意图而定,“活跃”可以意味着电子商务站点、政府站点或者其它一些站点。下一步就是测试这些站点是否存在SQL注入漏洞。创建一个程序,进而使这一过程自动化,是非常简单的。


  接下来,黑客所要做的就是运行这个工具,确定使用SQL注入的站点,并且在易受攻击的站点使用自动SQL注入工具下载数据库。一分钟内可以找到500个数据库。这些数据库可能是信用卡号码、用户名和密码或者机密信息。这可以建立进而定位易受攻击的站点,引用出并保存数据库。编码、按下按钮、然后走开。随后,就可以得到有漏洞站点中的所有数据。


我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • McAfee公司调查证实规则遵从是IT安全的关键驱动力

    根据安全巨人McAfee公司近日发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。

  • 黑帽大会2010:黑客展示如何攻陷百万台路由器

    网络安全顾问Craig Heffner将在2010美国黑帽大会上,展示如何透过存在已久的DNS重新绑定技术攻击全球数百万台的路由器,届时也将发表自动攻击工具。

  • 云安全

    云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。

  • 调查发现:云计算的风险大于收益

    通过对1800多名美国IT职业人员进行调查,发现有48%的人表示云计算的风险大于其收益,有些管理企业内部云计算项目的IT职业人员对云计算表现出了持续的焦虑情绪。