資料來源:https://www.trendmicro.com/vinfo/us/security/definition/sql-injection
SQL 注入,也稱為插入,是一種惡意技術,它通過注入惡意 SQL 語句或利用錯誤輸入來利用目標網站基於 SQL 的應用軟件中的漏洞。2013 年,開放 Web 應用程序安全項目 [OWASP] 將注入列為易受攻擊的 Web 應用程序最普遍的威脅。
SQL 注入是攻擊者用來攻擊網站的最常見的代碼注入技術之一。一旦網站被利用,攻擊者就會嘗試獲得對服務器的 root 訪問權限,從而允許他們收集信息以及訪問網絡中的數據庫和其他設備。
2011 年 3 月,SQL 注入被用於破壞眾多網站並註入惡意腳本,觸發重定向到某些 URL,從而導致 FAKEAV 等惡意軟件。與跨站腳本的區別
雖然這兩個漏洞都可能由網站/應用程序用戶和管理員發送的惡意代碼或數據引起,但它們的影響不同。CSS/XSS 通常會在客戶端或訪問者端造成中斷,並可用於劫持會話、破壞網站、下載惡意內容和重定向 URL。另一方面,注入會嚴重影響服務器端,並可能導致數據丟失等後果。
如何防止 SQL 注入攻擊
視頻:Trend Micro Tech-TV:演示和防止 SQL 注入漏洞
相關術語:跨站腳本(CSS/XSS)、網站篡改、漏洞、漏洞利用
對於企業:
- 使用測試工具確保部署的代碼是安全的。企業和組織可能會投資於測試工具,例如 Web 應用程序掃描器、漏洞掃描器和靜態代碼分析器。這些工具可幫助 IT 團隊在部署之前、期間和之後測試和評估代碼。
- 考慮使用 Web 應用程序防火牆。這些在 Web 應用程序級別提供防火牆保護。
- 練習安全編碼。擁有網站的公司必須採用並實施安全編碼標準。開放 Web 應用程序安全項目 (OWASP) 是一個非營利組織,它通過社區反饋幫助 Web 開發人員、管理員和所有者練習安全編碼。
- 相應地修補系統和網絡。IT 管理員應特別注意確保網絡中的所有系統都打了補丁,因為一個未打補丁的系統可能會帶來災難。這可以防止網絡犯罪分子利用未修補/過時軟件中的漏洞。
- 掃描 Web 應用程序是否存在漏洞:企業需要檢查其 Web 應用程序是否存在漏洞,因為這些漏洞可能導致 SQL 注入和跨站點腳本攻擊。
鏈接:
https://www.owasp.org/index.php/Top_10_2013-A1-Injection
http://blog.trendmicro.com/trendlabs-security-intelligence/lizamoon-etc-sql-injection-attack-still-on-going/產品:Trend Micro™ Deep Security™ 和漏洞防護、Trend Micro™ Deep Discovery™
留言