NTT研究表明，盡管SQL注入(SQLi)型攻擊記錄詳盡且為人熟知，但目前網(wǎng)絡(luò)應(yīng)用程序仍然是SQLi攻擊的重災(zāi)區(qū)。

信息安全和風(fēng)險(xiǎn)管理公司NTTCom Security發(fā)布的《2015全球智能威脅風(fēng)險(xiǎn)報(bào)告》表明，目前黑客攻擊網(wǎng)絡(luò)應(yīng)用程序方式中最流行的，要數(shù)SQLi攻擊。報(bào)告對(duì)去年發(fā)生的60億攻擊行為進(jìn)行分析，指出SQLi攻擊是最常見(jiàn)的網(wǎng)絡(luò)應(yīng)用程序攻擊方式。全球網(wǎng)絡(luò)應(yīng)用程序攻擊中，SQLi攻擊占26%。

SQLi攻擊包括在可入侵的網(wǎng)站上輸入惡意命令到URL和文本字段，通常是為了竊取數(shù)據(jù)庫(kù)中存儲(chǔ)的有價(jià)值數(shù)據(jù)，比如信用卡信息。

NTT Com Security全球產(chǎn)品市場(chǎng)高級(jí)總監(jiān)Stuart Reed表示：“從幾年前到現(xiàn)在，SQLi攻擊都是網(wǎng)絡(luò)應(yīng)用程序最大的的弱點(diǎn)。最近產(chǎn)生巨大影響的IT安全事件基本都是由于SQLi攻擊導(dǎo)致的，因?yàn)楣舻哪繕?biāo)往往很誘人，包含敏感信息，比如信用卡信息和珍貴的客戶數(shù)據(jù)。”

 [[140628]]

面臨為人熟知的常見(jiàn)SQLi攻擊——企業(yè)的失守

Reed認(rèn)為，雖然SQLi攻擊非常常見(jiàn)且為人熟知，但很多公司還是不能采取有效的流程保證數(shù)據(jù)安全。各種組織需要確保為網(wǎng)絡(luò)應(yīng)用程序搭建了正確的安全層，以避免此類攻擊。還應(yīng)該具備有效的應(yīng)急預(yù)案，應(yīng)對(duì)任何潛在或?qū)嶋H的安全漏洞。

開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(Owasp)繼續(xù)將SQL注入攻擊作為十大網(wǎng)絡(luò)應(yīng)用程序風(fēng)險(xiǎn)榜的榜首。

2014年11月，酒店預(yù)訂網(wǎng)站W(wǎng)orldviewLimited由于嚴(yán)重的數(shù)據(jù)泄露而被罰款之后，信息委員會(huì)辦公室敦促各家組織保衛(wèi)自己的網(wǎng)絡(luò)，以免受到SQLi攻擊。Worldview泄露事件是由于其公司網(wǎng)頁(yè)的一個(gè)SQLi漏洞造成了3814名顧客的全部支付卡信息泄露。

ICO認(rèn)為研究表現(xiàn)出SQLi已經(jīng)成為了一項(xiàng)非常常見(jiàn)的攻擊手段。ICO還表示，在過(guò)去的10年間，有百分之九十的數(shù)據(jù)庫(kù)記錄被盜都與這種手段有關(guān)。

具體報(bào)告數(shù)字

報(bào)告顯示，過(guò)去一年業(yè)界全系統(tǒng)內(nèi)76%的已確認(rèn)漏洞都已經(jīng)存在了兩年以上;且有幾乎9%已經(jīng)存在了10年以上。74%的組織沒(méi)有應(yīng)急預(yù)案，而事件反映問(wèn)題中涉及惡意軟件的數(shù)量增加了9%，達(dá)到了52%。

盡管52%的時(shí)間都是惡意軟件導(dǎo)致的，NTT Com Security還發(fā)現(xiàn)只有46%的新惡意軟件能被殺毒軟件檢測(cè)出;85%的漏洞還存留在用戶系統(tǒng)中，而非服務(wù)器中。

報(bào)告還顯示出，金融行業(yè)繼續(xù)保持第一名的中彈率，占檢測(cè)出攻擊的18%。商業(yè)和私人服務(wù)領(lǐng)域以15%位列第二，零售(14%)第三，制造業(yè)(12%)和醫(yī)療(7%)緊隨其后。