最近，來自俄羅斯和烏克蘭的五名嫌犯被起訴涉嫌盜竊超過一億六千萬信用卡號碼和其他財務(wù)數(shù)據(jù)，受害企業(yè)包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起訴書上顯示，在2005年到2012年七年的時間中，嫌犯共盜取受害者達3億美元的資產(chǎn)。

從該事件中我們了解到，在大多數(shù)情況下，黑客們并沒有采用特別復(fù)雜的方法來入侵企業(yè)網(wǎng)絡(luò)。通常是通過SQL注入漏洞來發(fā)動攻擊，而這個漏洞的存在已經(jīng)超過十年之久。

例如，NASDAQ網(wǎng)絡(luò)最初遭受攻擊是源自在線密碼提醒頁面上的SQL注入漏洞，這個漏洞可以讓黑客們未經(jīng)授權(quán)而進入到公司的網(wǎng)絡(luò)系統(tǒng)，最終控制整個網(wǎng)絡(luò)系統(tǒng)。

通過SQL注入攻擊，黑客們利用編碼較差的Web應(yīng)用軟件在企業(yè)的系統(tǒng)和網(wǎng)絡(luò)中安裝惡意代碼。當web應(yīng)用程序沒能正確過濾或驗證用戶輸入的數(shù)據(jù)，例如網(wǎng)上購物或重設(shè)密碼時，這個漏洞就可能被利用。

黑客可以利用輸入驗證錯誤來發(fā)送偽造SQL查詢到底層數(shù)據(jù)庫，從而入侵數(shù)據(jù)庫，安裝惡意代碼，或入侵網(wǎng)絡(luò)上的其他系統(tǒng)。

SQL注入漏洞一旦發(fā)現(xiàn)，很容易修復(fù)。但IT專業(yè)人員面臨的挑戰(zhàn)是去哪里查找這些漏洞。在大型web應(yīng)用程序中，用戶可以在上百處地方輸入數(shù)據(jù)，每一個都可能為黑客提供機會。

多年來，黑客一直在利用SQL注入漏洞，因為這種漏洞比較容易掌握。近年來，SQL注入攻擊是黑客們?nèi)肭志W(wǎng)絡(luò)最受歡迎的方法之一。

一些安全專家和組織(例如支付卡行業(yè)安全委員會)長期以來一直在敦促企業(yè)徹底掃描web應(yīng)用程序中的這種漏洞。他們建議使用web應(yīng)用防火墻來緩解這種威脅。

PCI委員會要求企業(yè)進行全面的源代碼分析來掃除這些漏洞，或者使用web應(yīng)用程序防火墻。

即便如此，很多公司仍然未能全面部署這些措施來緩解SQL注入威脅，Gartner分析師Avivah Litan說，“SQL注入攻擊之所以能夠成功，是因為企業(yè)并沒有部署足夠好的保護。”

Litan表示，雖然企業(yè)知道應(yīng)用程序代碼審查和部署應(yīng)用防火墻的必要，但很多企業(yè)因為資源問題往往忽略了這些問題。

“企業(yè)沒有部署這些措施是因為，他們已經(jīng)不堪重負，他們沒有足夠的資金和資源來解決SQL問題，”她表示，“企業(yè)非常需要進行預(yù)算優(yōu)先排序，并解決組織孤島問題。”

應(yīng)用安全公司W(wǎng)hiteHat Security創(chuàng)始人兼首席技術(shù)官Jeremiah Grossman表示，很多企業(yè)的軟件開發(fā)資源已經(jīng)完全耗盡了。

“你的編程員需要不斷為客戶推出新功能，以確保為企業(yè)創(chuàng)收。如果他們慢下來，或者做別的工作，例如修復(fù)其代碼中的漏洞，這肯定會犧牲他們開發(fā)新功能的時間，所以他們當然沒有足夠的時間和資源來做所有的事情。”

“對于SQL注入漏洞問題，我們了解它也知道如何修復(fù)它，但是核心問題是SQL漏洞的規(guī)模以及開發(fā)資源限制。”(編譯/鄒錚)