SQL 注入 - 定義

資料來源：https://www.trendmicro.com/vinfo/us/security/definition/sql-injection

SQL 注入，也稱為插入，是一種惡意技術，它通過注入惡意 SQL 語句或利用錯誤輸入來利用目標網站基於 SQL 的應用軟件中的漏洞。2013 年，開放 Web 應用程序安全項目 [OWASP] 將注入列為易受攻擊的 Web 應用程序最普遍的威脅。

SQL 注入是攻擊者用來攻擊網站的最常見的代碼注入技術之一。一旦網站被利用，攻擊者就會嘗試獲得對服務器的 root 訪問權限，從而允許他們收集信息以及訪問網絡中的數據庫和其他設備。

2011 年 3 月，SQL 注入被用於破壞眾多網站並註入惡意腳本，觸發重定向到某些 URL，從而導致 FAKEAV 等惡意軟件。

與跨站腳本的區別

雖然這兩個漏洞都可能由網站/應用程序用戶和管理員發送的惡意代碼或數據引起，但它們的影響不同。CSS/XSS 通常會在客戶端或訪問者端造成中斷，並可用於劫持會話、破壞網站、下載惡意內容和重定向 URL。另一方面，注入會嚴重影響服務器端，並可能導致數據丟失等後果。

如何防止 SQL 注入攻擊

視頻：Trend Micro Tech-TV：演示和防止 SQL 注入漏洞

相關術語：跨站腳本（CSS/XSS）、網站篡改、漏洞、漏洞利用

對於企業：

使用測試工具確保部署的代碼是安全的。企業和組織可能會投資於測試工具，例如 Web 應用程序掃描器、漏洞掃描器和靜態代碼分析器。這些工具可幫助 IT 團隊在部署之前、期間和之後測試和評估代碼。
考慮使用 Web 應用程序防火牆。這些在 Web 應用程序級別提供防火牆保護。
練習安全編碼。擁有網站的公司必須採用並實施安全編碼標準。開放 Web 應用程序安全項目 (OWASP) 是一個非營利組織，它通過社區反饋幫助 Web 開發人員、管理員和所有者練習安全編碼。
相應地修補系統和網絡。IT 管理員應特別注意確保網絡中的所有系統都打了補丁，因為一個未打補丁的系統可能會帶來災難。這可以防止網絡犯罪分子利用未修補/過時軟件中的漏洞。
掃描 Web 應用程序是否存在漏洞：企業需要檢查其 Web 應用程序是否存在漏洞，因為這些漏洞可能導致 SQL 注入和跨站點腳本攻擊。

鏈接：

仆洛宅