前段時(shí)間有一起敏感的黑客事件被曝光，一個(gè)叫“Team Digi7al”的黑客組織被關(guān)閉，原因是他們的一名成員攻擊了美國(guó)海軍的web應(yīng)用“Smart Web Move”。此次攻擊造成美國(guó)海軍數(shù)據(jù)庫(kù)超過(guò)22萬(wàn)服役人員的個(gè)人信息被泄露。這次黑客攻擊的攻擊手段是什么？—— SQL注入。

前段時(shí)間，我們?cè)幕貞?yīng)在Dark Reading網(wǎng)站上發(fā)表的一篇關(guān)于IPS的統(tǒng)計(jì)報(bào)告，該報(bào)告展示了超過(guò)十年的攻擊緩解數(shù)據(jù)，卻漏掉了一個(gè)非常關(guān)鍵的數(shù)據(jù)值——應(yīng)用攻擊。絕大部分web應(yīng)用攻擊，包括SQL注入在內(nèi)，都在這份報(bào)告中被忽視掉了。但不幸的是，web應(yīng)用攻擊在現(xiàn)實(shí)中廣泛存在。

2014年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告中揭示了web應(yīng)用攻擊數(shù)量是如何增長(zhǎng)的，指出“web應(yīng)用已成為網(wǎng)絡(luò)攻擊眾所周知的靶心目標(biāo)”。這種說(shuō)法或許聽(tīng)起來(lái)很大膽，但事實(shí)的確如此。

· SQL注入攻擊的代價(jià)是什么？

隨著web應(yīng)用攻擊日漸增多，我們不得不思考SQL注入攻擊的代價(jià)。

在ArsTechnica的一篇文章中，Goodin提到美國(guó)海軍花費(fèi)了超過(guò)50萬(wàn)美元（超過(guò)300萬(wàn)人民幣）來(lái)處理這一次的數(shù)據(jù)泄露事故。或許對(duì)某些讀者來(lái)說(shuō)這是個(gè)瞠目的數(shù)字，然而在NTT集團(tuán)發(fā)布的2014全球威脅情報(bào)報(bào)告中卻指出一個(gè)殘酷的事實(shí)——“企業(yè)對(duì)一次小規(guī)模SQL注入攻擊的平均善后開(kāi)支，通常超過(guò)19萬(wàn)6千美元（超過(guò)120萬(wàn)人民幣）”。

50萬(wàn)美金算是讓美國(guó)海軍為這次SQL注入攻擊導(dǎo)致的數(shù)據(jù)泄露事故付出了沉重代價(jià)。不過(guò)，由于安全意識(shí)的缺乏和對(duì)應(yīng)用安全的忽視，SQL注入攻擊依然是黑客們賺錢的好方法。

· SQL注入的現(xiàn)實(shí)

SQL注入絕不是一個(gè)過(guò)時(shí)的安全問(wèn)題。作為一種非常容易被利用的攻擊向量，SQL注入并不需要高級(jí)的攻擊技術(shù)便可以盜取信息。事實(shí)上，由于SQL注入攻擊非常高效，高級(jí)黑客往往利用自動(dòng)化的SQL注入工具制造僵尸，建立可以自動(dòng)攻擊的僵尸網(wǎng)絡(luò)。 

通過(guò)Imperva的ThreatRadar眾包威脅情報(bào)系統(tǒng)的社區(qū)防御服務(wù)，我們可以了解SQL注入的第一手信息。據(jù)我們?cè)谶^(guò)去一個(gè)月內(nèi)全球發(fā)生的30萬(wàn)起攻擊事件中的抽樣數(shù)據(jù)顯示，24.6%的襲擊是由SQL注入造成的。

SQL注入攻擊并不會(huì)在短時(shí)間內(nèi)消停，其背后的web應(yīng)用攻擊更是一個(gè)迫在眉睫的、代價(jià)昂貴的重大威脅，處理一次web應(yīng)用安全事故要花掉超過(guò)20萬(wàn)美元。企業(yè)須意識(shí)到，部署web應(yīng)用攻擊緩解策略是必要的、也是首要的安全任務(wù)，這是保護(hù)企業(yè)數(shù)據(jù)安全關(guān)鍵的一步。