穿越小说完本 ,国际完美世界下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

專家質疑程序員使用SQL注入功能

那些沒有安全常識的程序員把SQL注入代碼作為一個功能寫在一些web應用程序里,當這些應用程序開始使用或分發(fā)給在線廣告網(wǎng)絡的分支的時候就會使用戶處在安全風險中.

普陀網(wǎng)站建設公司創(chuàng)新互聯(lián)公司,普陀網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經驗。已為普陀成百上千家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\成都外貿網(wǎng)站建設公司要多少錢，請找那個售后服務好的普陀做網(wǎng)站的公司定做！

這種編碼方式是應用程序運行的關鍵。這個問題很普遍,以至于一些安全廠家,包括TippingPoint,他們的入侵防御系統(tǒng)(IPS)出廠時默認關閉了SQL注入保護過濾功能，以避免導致應用程序不能使用。

　　TippingPoint的DVlabs安全研究主任Rohit Dhamankar表示公司在全球的IPS蜜罐系統(tǒng)都發(fā)現(xiàn)利用一些Web應用的SQL注入功能來進行的SQL注入攻擊出現(xiàn)猛增。TippingPoint通過它的IPS過濾器捕捉攻擊企圖，進而跟蹤全球性的威脅。它也匿名地跟蹤客戶如何配置他們的IPS。

　　有時編寫這些應用程序的人并沒有意識到他們已經無意中在應用程序放置SQL注入作為一個功能。Dhamankar說。當某個廣告公司利用一個漏洞，一個SQL注入來向它所有的公司分發(fā)報告時，這一攻擊就出現(xiàn)了。

　　SANS協(xié)會在本周發(fā)布的《The Top Cyber Security Risks.》報告中聲稱，SQL注入和跨站點腳本攻擊是網(wǎng)上的兩個最大的問題。這些錯誤也往往是最容易被公司忽視的。而美國史上最大的數(shù)據(jù)安全攻擊的黑客們使用的就是SQL注入方法。

　　開源和定制的程序中的WEB應用程序漏洞，占被發(fā)現(xiàn)的漏洞的80%以上，SANS在報告提到。該研究細分了SQL注入錯誤，像“使用SELECT SQL的SQL注入”“逃避使用字符串函數(shù)的SQL注入”和“使用布爾標識的SQL注入”所有的錯誤，都可以在有漏洞的應用程序啟用之前，在軟件開發(fā)周期糾正。

　　Dhamankar說那些代碼沒有寫好的在線廣告，導致了那次紐約時報網(wǎng)站訪問者所遇到的問題。一旦漏洞暴露，攻擊者能在廣告中下毒，并把點擊它們的訪問者重定向到惡意網(wǎng)站上去。在那些站點里的自動化腳本會檢查有缺陷的瀏覽器插件和其它沒打補丁的應用程序，從而給攻擊者一個立足點來感染受害者的電腦。

　　紐約時報部分地使用了一個廣告分發(fā)網(wǎng)絡。前不久，一個獲批的廣告正常地顯示出來，但是攻擊者隨后將其替換為一個惡意廣告，它彈出一個警告窗口，聲稱用戶的電腦已經被感染了，而且需要點擊鏈接來清除病毒。

這個問題整變得非常普遍，但專家稱，修復SQL注入錯誤往往很困難，并且很昂貴。漏洞掃描能發(fā)現(xiàn)成千上萬個有SQL注入的錯誤。

　　Dhamankar，在SANS協(xié)會會議上進行報告的安全專家之一，稱合法的在線廣告附屬公司和其他公司可以使用IPS或WEB 應用防火墻（WAPs）來停止這樣的攻擊，并且讓程序員為他們的錯誤代碼負責。讓他們提高意識和進行教育也應該作為優(yōu)先事項，Dhamankar在會后的一封email信息中寫道。

　　“如果開發(fā)部門確保其雇員經過安全編程練習和課程，將能減少此類事件的發(fā)生，”他寫道。“在公司內部或者通過第三方進行應用程序的安全測試是另一個好辦法，以確保web應用程序的漏洞在投入生產之前能被發(fā)現(xiàn)?！?

　　數(shù)據(jù)調查專家和SANS協(xié)會講師，Mandiant的Rob Lee說他的研究表明，黑客正在使用釣魚攻擊以及各種各樣的社會工程學技巧來欺騙用戶點擊惡意鏈接。但是三分之一的攻擊專門使用SQL注入，針對有公開網(wǎng)站的金融機構和零售商，他說。

　　他們通過面向公眾的網(wǎng)站侵入，以獲得對在后端的信用卡數(shù)據(jù)的訪問能力。Lee說。“這有點像破門入室的盜竊，不過他們要找的是信用卡數(shù)據(jù)?！?

　　沒有一個銀子彈能保護組織免受攻擊，InGuardians公司的創(chuàng)始人兼高級安全顧問Ed Skoudis說。一旦惡意代碼通過SQL注入或其他方式嵌入進網(wǎng)站，然后受害者就會把惡意內容帶入到他們公司內部的機器上，而這臺機器上的客戶端軟件沒有完全打好補丁。

這需要更深入的防御，Skoudis說。敏感數(shù)據(jù)不存儲在客戶機上，最終用戶是否感染就無關緊要——安全專家不能陷入這樣的思維。

　　“一旦壞人攻破了一個客戶機，而在目標環(huán)境有了立錐之地，他不會到此為止，”Skoudis說?！翱蛻魴C被攻破之后，攻擊者會對公司展開大面積攻擊……然后摸到內部網(wǎng)絡服務器，這時候你就被全面攻破了。

文章名稱：專家質疑程序員使用SQL注入功能
網(wǎng)頁URL：http://m.fisionsoft.com.cn/article/cocppoj.html

新聞中心

其他資訊