前段時間有一起敏感的黑客事件被曝光，一個叫“Team Digi7al”的黑客組織被關(guān)閉，原因是他們的一名成員攻擊了美國海軍的web應用“Smart Web Move”。此次攻擊造成美國海軍數(shù)據(jù)庫超過22萬服役人員的個人信息被泄露。這次黑客攻擊的攻擊手段是什么？—— SQL注入。

前段時間，我們曾撰文回應在Dark Reading網(wǎng)站上發(fā)表的一篇關(guān)于IPS的統(tǒng)計報告，該報告展示了超過十年的攻擊緩解數(shù)據(jù)，卻漏掉了一個非常關(guān)鍵的數(shù)據(jù)值——應用攻擊。絕大部分web應用攻擊，包括SQL注入在內(nèi)，都在這份報告中被忽視掉了。但不幸的是，web應用攻擊在現(xiàn)實中廣泛存在。

2014年Verizon數(shù)據(jù)泄露調(diào)查報告中揭示了web應用攻擊數(shù)量是如何增長的，指出“web應用已成為網(wǎng)絡攻擊眾所周知的靶心目標”。這種說法或許聽起來很大膽，但事實的確如此。

· SQL注入攻擊的代價是什么？

隨著web應用攻擊日漸增多，我們不得不思考SQL注入攻擊的代價。

在ArsTechnica的一篇文章中，Goodin提到美國海軍花費了超過50萬美元（超過300萬人民幣）來處理這一次的數(shù)據(jù)泄露事故?；蛟S對某些讀者來說這是個瞠目的數(shù)字，然而在NTT集團發(fā)布的2014全球威脅情報報告中卻指出一個殘酷的事實——“企業(yè)對一次小規(guī)模SQL注入攻擊的平均善后開支，通常超過19萬6千美元（超過120萬人民幣）”。

50萬美金算是讓美國海軍為這次SQL注入攻擊導致的數(shù)據(jù)泄露事故付出了沉重代價。不過，由于安全意識的缺乏和對應用安全的忽視，SQL注入攻擊依然是黑客們賺錢的好方法。

· SQL注入的現(xiàn)實

SQL注入絕不是一個過時的安全問題。作為一種非常容易被利用的攻擊向量，SQL注入并不需要高級的攻擊技術(shù)便可以盜取信息。事實上，由于SQL注入攻擊非常高效，高級黑客往往利用自動化的SQL注入工具制造僵尸，建立可以自動攻擊的僵尸網(wǎng)絡。 

通過Imperva的ThreatRadar眾包威脅情報系統(tǒng)的社區(qū)防御服務，我們可以了解SQL注入的第一手信息。據(jù)我們在過去一個月內(nèi)全球發(fā)生的30萬起攻擊事件中的抽樣數(shù)據(jù)顯示，24.6%的襲擊是由SQL注入造成的。

SQL注入攻擊并不會在短時間內(nèi)消停，其背后的web應用攻擊更是一個迫在眉睫的、代價昂貴的重大威脅，處理一次web應用安全事故要花掉超過20萬美元。企業(yè)須意識到，部署web應用攻擊緩解策略是必要的、也是首要的安全任務，這是保護企業(yè)數(shù)據(jù)安全關(guān)鍵的一步。