最近，來(lái)自俄羅斯和烏克蘭的五名嫌犯被起訴涉嫌盜竊超過(guò)一億六千萬(wàn)信用卡號(hào)碼和其他財(cái)務(wù)數(shù)據(jù)，受害企業(yè)包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起訴書(shū)上顯示，在2005年到2012年七年的時(shí)間中，嫌犯共盜取受害者達(dá)3億美元的資產(chǎn)。

從該事件中我們了解到，在大多數(shù)情況下，黑客們并沒(méi)有采用特別復(fù)雜的方法來(lái)入侵企業(yè)網(wǎng)絡(luò)。通常是通過(guò)SQL注入漏洞來(lái)發(fā)動(dòng)攻擊，而這個(gè)漏洞的存在已經(jīng)超過(guò)十年之久。

例如，NASDAQ網(wǎng)絡(luò)最初遭受攻擊是源自在線密碼提醒頁(yè)面上的SQL注入漏洞，這個(gè)漏洞可以讓黑客們未經(jīng)授權(quán)而進(jìn)入到公司的網(wǎng)絡(luò)系統(tǒng)，最終控制整個(gè)網(wǎng)絡(luò)系統(tǒng)。

通過(guò)SQL注入攻擊，黑客們利用編碼較差的Web應(yīng)用軟件在企業(yè)的系統(tǒng)和網(wǎng)絡(luò)中安裝惡意代碼。當(dāng)web應(yīng)用程序沒(méi)能正確過(guò)濾或驗(yàn)證用戶輸入的數(shù)據(jù)，例如網(wǎng)上購(gòu)物或重設(shè)密碼時(shí)，這個(gè)漏洞就可能被利用。

黑客可以利用輸入驗(yàn)證錯(cuò)誤來(lái)發(fā)送偽造SQL查詢到底層數(shù)據(jù)庫(kù)，從而入侵?jǐn)?shù)據(jù)庫(kù)，安裝惡意代碼，或入侵網(wǎng)絡(luò)上的其他系統(tǒng)。

SQL注入漏洞一旦發(fā)現(xiàn)，很容易修復(fù)。但I(xiàn)T專業(yè)人員面臨的挑戰(zhàn)是去哪里查找這些漏洞。在大型web應(yīng)用程序中，用戶可以在上百處地方輸入數(shù)據(jù)，每一個(gè)都可能為黑客提供機(jī)會(huì)。

多年來(lái)，黑客一直在利用SQL注入漏洞，因?yàn)檫@種漏洞比較容易掌握。近年來(lái)，SQL注入攻擊是黑客們?nèi)肭志W(wǎng)絡(luò)最受歡迎的方法之一。

一些安全專家和組織(例如支付卡行業(yè)安全委員會(huì))長(zhǎng)期以來(lái)一直在敦促企業(yè)徹底掃描web應(yīng)用程序中的這種漏洞。他們建議使用web應(yīng)用防火墻來(lái)緩解這種威脅。

PCI委員會(huì)要求企業(yè)進(jìn)行全面的源代碼分析來(lái)掃除這些漏洞，或者使用web應(yīng)用程序防火墻。

即便如此，很多公司仍然未能全面部署這些措施來(lái)緩解SQL注入威脅，Gartner分析師Avivah Litan說(shuō)，“SQL注入攻擊之所以能夠成功，是因?yàn)槠髽I(yè)并沒(méi)有部署足夠好的保護(hù)。”

Litan表示，雖然企業(yè)知道應(yīng)用程序代碼審查和部署應(yīng)用防火墻的必要，但很多企業(yè)因?yàn)橘Y源問(wèn)題往往忽略了這些問(wèn)題。

“企業(yè)沒(méi)有部署這些措施是因?yàn)椋麄円呀?jīng)不堪重負(fù)，他們沒(méi)有足夠的資金和資源來(lái)解決SQL問(wèn)題，”她表示，“企業(yè)非常需要進(jìn)行預(yù)算優(yōu)先排序，并解決組織孤島問(wèn)題。”

應(yīng)用安全公司W(wǎng)hiteHat Security創(chuàng)始人兼首席技術(shù)官Jeremiah Grossman表示，很多企業(yè)的軟件開(kāi)發(fā)資源已經(jīng)完全耗盡了。

“你的編程員需要不斷為客戶推出新功能，以確保為企業(yè)創(chuàng)收。如果他們慢下來(lái)，或者做別的工作，例如修復(fù)其代碼中的漏洞，這肯定會(huì)犧牲他們開(kāi)發(fā)新功能的時(shí)間，所以他們當(dāng)然沒(méi)有足夠的時(shí)間和資源來(lái)做所有的事情。”

“對(duì)于SQL注入漏洞問(wèn)題，我們了解它也知道如何修復(fù)它，但是核心問(wèn)題是SQL漏洞的規(guī)模以及開(kāi)發(fā)資源限制。”(編譯/鄒錚)