SQL注入攻击的沉重代价

安全 数据安全
前段时间有一起敏感的黑客事件被曝光,一个叫“Team Digi7al”的黑客组织被关闭,原因是他们的一名成员攻击了美国海军的web应用“Smart Web Move”。此次攻击造成美国海军数据库超过22万服役人员的个人信息被泄露。这次黑客攻击的攻击手段是什么?—— SQL注入。

前段时间有一起敏感的黑客事件被曝光,一个叫“Team Digi7al”的黑客组织被关闭,原因是他们的一名成员攻击了美国海军的web应用“Smart Web Move”。此次攻击造成美国海军数据库超过22万服役人员的个人信息被泄露。这次黑客攻击的攻击手段是什么?—— SQL注入。

前段时间,我们曾撰文回应在Dark Reading网站上发表的一篇关于IPS的统计报告,该报告展示了超过十年的攻击缓解数据,却漏掉了一个非常关键的数据值——应用攻击。绝大部分web应用攻击,包括SQL注入在内,都在这份报告中被忽视掉了。但不幸的是,web应用攻击在现实中广泛存在。

2014年Verizon数据泄露调查报告中揭示了web应用攻击数量是如何增长的,指出“web应用已成为网络攻击众所周知的靶心目标”。这种说法或许听起来很大胆,但事实的确如此。

· SQL注入攻击的代价是什么?

随着web应用攻击日渐增多,我们不得不思考SQL注入攻击的代价。

在ArsTechnica的一篇文章中,Goodin提到美国海军花费了超过50万美元(超过300万人民币)来处理这一次的数据泄露事故。或许对某些读者来说这是个瞠目的数字,然而在NTT集团发布的2014全球威胁情报报告中却指出一个残酷的事实——“企业对一次小规模SQL注入攻击的平均善后开支,通常超过19万6千美元(超过120万人民币)”。

50万美金算是让美国海军为这次SQL注入攻击导致的数据泄露事故付出了沉重代价。不过,由于安全意识的缺乏和对应用安全的忽视,SQL注入攻击依然是黑客们赚钱的好方法。

· SQL注入的现实

SQL注入绝不是一个过时的安全问题。作为一种非常容易被利用的攻击向量,SQL注入并不需要高级的攻击技术便可以盗取信息。事实上,由于SQL注入攻击非常高效,高级黑客往往利用自动化的SQL注入工具制造僵尸,建立可以自动攻击的僵尸网络。 

通过Imperva的ThreatRadar众包威胁情报系统的社区防御服务,我们可以了解SQL注入的第一手信息。据我们在过去一个月内全球发生的30万起攻击事件中的抽样数据显示,24.6%的袭击是由SQL注入造成的。

SQL注入攻击并不会在短时间内消停,其背后的web应用攻击更是一个迫在眉睫的、代价昂贵的重大威胁,处理一次web应用安全事故要花掉超过20万美元。企业须意识到,部署web应用攻击缓解策略是必要的、也是首要的安全任务,这是保护企业数据安全关键的一步。

 
责任编辑:王林 来源: 51cto.com
相关推荐

2020-11-10 10:51:25

程序员高薪技术

2010-04-21 09:28:57

IT底层架构成本

2011-10-19 10:47:56

2021-07-02 10:02:03

勒索软件攻击数据泄露

2019-02-22 09:00:00

2009-02-04 16:51:48

2020-08-07 08:13:08

SQL攻击模式

2010-09-14 16:00:16

2010-09-08 13:31:24

2009-03-10 08:05:19

2011-04-01 09:42:58

2009-09-23 10:43:22

2010-09-20 11:22:08

2010-09-08 13:10:03

2012-04-12 15:06:44

2010-09-30 12:53:10

2013-04-26 11:26:00

2023-08-08 13:22:10

2010-03-12 11:08:51

2010-09-08 14:02:46

点赞
收藏

51CTO技术栈公众号