? Den samme kode , som webdesignere bruger til at hente oplysninger , der driver deres hjemmesider fra SQL-databaser giver også en af de mest almindelige server angrebsvektorer for hackere. Mens disse sårbarheder kan stamme fra en virksomheds tillader erhvervslivets interesser i Trump sikkerhedsproblemer i forbindelse med anvendelsen sikkerhedsrettelser , kan de også stamme fra en kilde uden sikkerhedsrettelse kan løse : fattige programmering. SQL angreb
Webstedssider der trækker oplysninger fra SQL-databaser er designet til at tage specifikke oplysninger fra brugerne, og derefter bruge oplysningerne til at oprette en forespørgsel erklæring at indhente specifikke oplysninger fra en database. SQL-injektion angreb tager form af hjemmeside brugernes manipulere denne proces at narre hjemmesidens kode i konstruere en forespørgsel, der returnerer følsomme oplysninger fra en database i stedet for offentlig information sidens programmør er designet det til at vende tilbage. Ved at bruge tricks såsom indtastning ugyldige data i inputfelter at tvinge en fejlmeddelelse, der afslører oplysninger om databasens struktur eller indtaste tekst, der vil medføre, at koden til at returnere oplysninger fra andre dele af databasen , kan en hacker indsamle oplysninger til at lancere en større angreb på en virksomhed eller organisation server.
server nedetid
Database software udbydere frigive sikkerhedsrettelser til at lukke sårbarheder, SQL-injektion angreb kan udnytte , da sikkerhedseksperter opdage dem , men virksomhederne ikke altid gælder disse patches til deres servere straks efter de er frigivet. Selvom det ikke umiddelbart anvende softwarerettelser betyder, at virksomheder bevidst kører en server med kendte sårbarheder , kræver anvendelse af disse patches tager servere offline til vedligeholdelse. Det betyder, at kunderne ikke vil være i stand til at få adgang til online-tjenester selskabet leverer, hvilket resulterer i kundeservice nedetid eller tabt indtægter fra online-salg. Af denne grund, ofte virksomhederne vente med at træffe servere offline for at anvende patches , indtil et tidspunkt, hvor de har brug for at udføre flere andre opgraderinger og patches.
Brugervenlighed Attack
en SQL-injektion angreb er en af de nemmeste sårbarheder til at udnytte , og er ofte det første angreb en novice hacker lærer . Der er utallige lektioner og tutorials gratis på internettet til at lære nogen , der er interesseret , hvordan man udfører dem. Kombineret med populariteten af hjemmesider med offentlig -vendende sider, der henter data fra SQL-databaser , betyder det, at enhver potentiel hacker har et væld af mål at sonden med SQL-injektion angreb . Dette resulterer i sikkerhedseksperter ' konstant læring af nye sårbarheder og exploits . Mens en virksomhed, der tog sin server nede for vedligeholdelse , hver gang det har lært af en ny potentiel sårbarhed ville være den mest sikre , ville det også have en masse server nedetid .
Poor Programmering
< br >
Selv om en virksomhed hensigtsmæssigt anvendes hver patch en SQL software leverandør frigivet, kan patches ikke lukke et andet mødested for SQL-injektion angreb : dårlig programmering. Mange succesrige SQL angreb er resultatet af Web programmører ' ikke at tage enkle trin såsom validering bruger input for at sikre, den er ikke designet til at tvinge SQL fejlmeddelelser , eller forhindre brugeren i at manuelt skrive i centrale elementer i en SQL-forespørgsel , at en hacker kan bruge til at vælge forskellige følsomme data felter. Programmører, der kode sådanne sårbarheder i deres web- sider er praktisk invitere SQL-injektion angreb på deres servere.
