Hvorfor er ikke alle nettsteder Lappet mot SQL-angrep?

Hvorfor er ikke alle nettsteder Lappet mot SQL-angrep?


Den samme koden som Webdesignere bruker til å hente informasjon som driver sine nettsteder fra SQL-databaser gir også en av de mest vanlige server angrepsvektorer for hackere. Selv om disse sikkerhetsproblemene kan stamme fra et selskaps slik virksomhet bekymringer til trumf sikkerhetsinteresser i å bruke sikkerhetsoppdateringer, kan de også stamme fra en kilde uten sikkerhet patch kan fikse: dårlig programmering.

SQL-angrep

Nettsidene som trekker informasjon fra SQL databaser er konstruert for å ta inn spesifikk informasjon fra brukere, og deretter bruke denne informasjonen til å konstruere en spørring utsagn for å hente spesifikk informasjon fra en database. SQL-injeksjon angrep i form av nettstedet brukere 'manipulere denne prosessen for å lure nettkoden til å konstruere en spørring som returnerer sensitiv informasjon fra en database i stedet for offentlig informasjon sidens programmerer utviklet det til å gå tilbake. Ved å bruke triks som går inn ugyldige data i inntastingsfelt for å tvinge en feilmelding som viser informasjon om databasen struktur, eller skrive inn tekst som vil føre koden for å returnere informasjon fra andre deler av databasen, kan en hacker samle informasjon for å lansere en stort angrep på en bedrift eller organisasjon server.

Server nedetid

Database programvareleverandører utgivelsen sikkerhetsoppdateringer for å lukke sikkerhetsproblemer som SQL-injeksjon angrep kan utnytte, som sikkerhetsforskere oppdage dem, men selskapene ikke alltid gjelder disse oppdateringene til sine servere umiddelbart etter at de er utgitt. Selv om ikke umiddelbart å bruke programvare oppdateringer betyr at selskapene bevisst kjører en server med kjente sårbarheter, bruke disse lappene krever å ta servere offline for vedlikehold. Det betyr at kundene ikke vil være i stand til å få tilgang til de elektroniske tjenestene selskapet tilbyr, noe som resulterer i kundeservice nedetid eller tapte inntekter fra online salg. Av denne grunn, selskaper ofte forsinke tar servere offline å bruke oppdateringer til en tid da de trenger for å utføre flere andre oppgraderinger og patcher.

Enkel Attack

En SQL-injeksjon angrep er en av de enkleste sårbarheter å utnytte, og er ofte det første angrepet en nybegynner hacker lærer. Det finnes utallige leksjoner og tutorials gratis på Internett for å undervise alle som er interessert hvordan du skal utføre dem. Kombinert med populariteten til nettsteder med offentlige vendte sider som henter data fra SQL databaser, betyr dette at enhver potensiell hacker har et vell av målene å sondere med SQL-injeksjon angrep. Dette resulterer i sikkerhetsforskere 'konstant læring av nye sårbarheter og utnytter. Mens et selskap som tok sin server nede for vedlikehold hver gang det har lært av en ny potensiell sårbarhet ville være den sikreste, ville det også ha mye server nedetid.

dårlig Programming

Selv om et selskap hensiktsmessig brukes hver patch en SQL programvareleverandør utgitt, kan flekker ikke stenge av en annen arena for SQL-injeksjon angrep: dårlig programmering. Mange vellykkede SQL-angrep er et resultat av web programmerere 'unnlate å ta enkle trinn som validerer brukerundersøkelser for å sikre at det er ikke designet for å tvinge SQL feilmeldinger, eller hindre brukeren fra manuelt skrive inn viktige elementer i en SQL-spørring som en hacker kan bruke til å velge ulike sensitive datafelt. Programmerere som kode slike sårbarheter i sine websider er praktisk talt innbydende SQL-injeksjon angrep på sine servere.