日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SQL注入漏洞是IT安全的阿喀琉斯之踵

最近,來自俄羅斯和烏克蘭的五名嫌犯被起訴涉嫌盜竊超過一億六千萬信用卡號(hào)碼和其他財(cái)務(wù)數(shù)據(jù),受害企業(yè)包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起訴書上顯示,在2005年到2012年七年的時(shí)間中,嫌犯共盜取受害者達(dá)3億美元的資產(chǎn)。

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供大同網(wǎng)站建設(shè)、大同做網(wǎng)站、大同網(wǎng)站設(shè)計(jì)、大同網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、大同企業(yè)網(wǎng)站模板建站服務(wù),十多年大同做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

從該事件中我們了解到,在大多數(shù)情況下,黑客們并沒有采用特別復(fù)雜的方法來入侵企業(yè)網(wǎng)絡(luò)。通常是通過SQL注入漏洞來發(fā)動(dòng)攻擊,而這個(gè)漏洞的存在已經(jīng)超過十年之久。

例如,NASDAQ網(wǎng)絡(luò)最初遭受攻擊是源自在線密碼提醒頁面上的SQL注入漏洞,這個(gè)漏洞可以讓黑客們未經(jīng)授權(quán)而進(jìn)入到公司的網(wǎng)絡(luò)系統(tǒng),最終控制整個(gè)網(wǎng)絡(luò)系統(tǒng)。

通過SQL注入攻擊,黑客們利用編碼較差的Web應(yīng)用軟件在企業(yè)的系統(tǒng)和網(wǎng)絡(luò)中安裝惡意代碼。當(dāng)web應(yīng)用程序沒能正確過濾或驗(yàn)證用戶輸入的數(shù)據(jù),例如網(wǎng)上購物或重設(shè)密碼時(shí),這個(gè)漏洞就可能被利用。

黑客可以利用輸入驗(yàn)證錯(cuò)誤來發(fā)送偽造SQL查詢到底層數(shù)據(jù)庫,從而入侵?jǐn)?shù)據(jù)庫,安裝惡意代碼,或入侵網(wǎng)絡(luò)上的其他系統(tǒng)。

SQL注入漏洞一旦發(fā)現(xiàn),很容易修復(fù)。但I(xiàn)T專業(yè)人員面臨的挑戰(zhàn)是去哪里查找這些漏洞。在大型web應(yīng)用程序中,用戶可以在上百處地方輸入數(shù)據(jù),每一個(gè)都可能為黑客提供機(jī)會(huì)。

多年來,黑客一直在利用SQL注入漏洞,因?yàn)檫@種漏洞比較容易掌握。近年來,SQL注入攻擊是黑客們?nèi)肭志W(wǎng)絡(luò)最受歡迎的方法之一。

一些安全專家和組織(例如支付卡行業(yè)安全委員會(huì))長期以來一直在敦促企業(yè)徹底掃描web應(yīng)用程序中的這種漏洞。他們建議使用web應(yīng)用防火墻來緩解這種威脅。

PCI委員會(huì)要求企業(yè)進(jìn)行全面的源代碼分析來掃除這些漏洞,或者使用web應(yīng)用程序防火墻。

即便如此,很多公司仍然未能全面部署這些措施來緩解SQL注入威脅,Gartner分析師Avivah Litan說,“SQL注入攻擊之所以能夠成功,是因?yàn)槠髽I(yè)并沒有部署足夠好的保護(hù)?!?/p>

Litan表示,雖然企業(yè)知道應(yīng)用程序代碼審查和部署應(yīng)用防火墻的必要,但很多企業(yè)因?yàn)橘Y源問題往往忽略了這些問題。

“企業(yè)沒有部署這些措施是因?yàn)?,他們已?jīng)不堪重負(fù),他們沒有足夠的資金和資源來解決SQL問題,”她表示,“企業(yè)非常需要進(jìn)行預(yù)算優(yōu)先排序,并解決組織孤島問題?!?/p>

應(yīng)用安全公司W(wǎng)hiteHat Security創(chuàng)始人兼首席技術(shù)官Jeremiah Grossman表示,很多企業(yè)的軟件開發(fā)資源已經(jīng)完全耗盡了。

“你的編程員需要不斷為客戶推出新功能,以確保為企業(yè)創(chuàng)收。如果他們慢下來,或者做別的工作,例如修復(fù)其代碼中的漏洞,這肯定會(huì)犧牲他們開發(fā)新功能的時(shí)間,所以他們當(dāng)然沒有足夠的時(shí)間和資源來做所有的事情?!?/p>

“對(duì)于SQL注入漏洞問題,我們了解它也知道如何修復(fù)它,但是核心問題是SQL漏洞的規(guī)模以及開發(fā)資源限制。”(編譯/鄒錚)


本文標(biāo)題:SQL注入漏洞是IT安全的阿喀琉斯之踵
當(dāng)前網(wǎng)址:http://www.5511xx.com/article/djpichc.html