? Lo stesso codice che i progettisti Web utilizzano per recuperare le informazioni che alimenta i loro siti web di database SQL fornisce anche uno dei vettori di attacco del server più comuni per gli hacker . Mentre queste vulnerabilità possono derivare da una società che permettono preoccupazioni di business vincenti per problemi di sicurezza in applicazione di patch di sicurezza , possono anche derivare da una fonte senza patch di sicurezza in grado di correggere : programmazione poveri . SQL Attacchi
pagine web che attingono informazioni dai database SQL sono progettati per prendere in informazioni specifiche da parte degli utenti , quindi utilizzare tali informazioni per costruire una istruzione di query per ottenere informazioni specifiche da un database. Attacchi di SQL injection assumono la forma di utenti di siti web ' manipolare questo processo di ingannare il codice del sito web in costruzione di una query che restituisce le informazioni sensibili da un database , piuttosto che l'informazione pubblica programmatore della pagina è progettato per tornare . Usando i trucchi , come l'immissione di dati non validi in campi di input per forza un messaggio di errore che rivela informazioni sulla struttura del database o l'immissione di testo che farà sì che il codice per restituire informazioni da altre parti del database , un hacker può raccogliere informazioni di lanciare un grande attacco su una società o di un server dell'organizzazione .
fornitori di software di database di downtime del server rilascia patch di sicurezza per chiudere le vulnerabilità che gli attacchi SQL injection possono sfruttare , come i ricercatori di sicurezza a scoprire , ma le imprese non si applicano sempre le patch ai server subito dopo che vengono rilasciati. Pur non applicando immediatamente le patch del software significa che le aziende stanno consapevolmente in esecuzione un server con vulnerabilità note , applicare queste patch richiede di prendere i server offline per manutenzione. Ciò significa che i clienti non saranno in grado di accedere ai servizi on-line offerti dalla compagnia , con conseguente interruzione del servizio al cliente o perdita di reddito per le vendite online . Per questo motivo , le aziende spesso ritardano prendere i server offline per applicare le patch fino al momento in cui hanno bisogno per svolgere diversi altri aggiornamenti e patch .
Facilità di attacco
< p > un attacco di SQL injection è una delle vulnerabilità più facili da sfruttare , ed è spesso il primo attacco di un hacker alle prime armi impara . Ci sono innumerevoli lezioni e tutorial gratuiti su Internet per insegnare chi è interessato come eseguirli . In combinazione con la popolarità di siti web con rivolte al pubblico pagine che recuperano dati da database SQL , questo significa che qualsiasi potenziale hacker ha una ricchezza di bersagli di sondare con attacchi di SQL injection . Ciò si traduce in ricercatori di sicurezza ' in costante apprendimento di nuove vulnerabilità e gli exploit . Mentre una società che ha avuto il suo server per manutenzione ogni volta che ha appreso di una nuova vulnerabilità potenziale sarebbe la più sicura , sarebbe anche avere un sacco di tempo di inattività del server .
Poor Programmazione
Anche se una società speditamente applicato tutte le patch per un fornitore di software SQL rilasciato, le patch non può chiudere un altro luogo per gli attacchi SQL injection : programmazione poveri . Molti attacchi di SQL successo sono il risultato di programmatori Web ' che non riescono a prendere le misure semplici , come la convalida dell'input dell'utente per assicurarsi che non è progettato per forzare i messaggi di errore di SQL , o impedendo all'utente di digitare manualmente gli elementi chiave di una query SQL che un hacker potrebbe utilizzare per selezionare i diversi campi di dati sensibili. I programmatori che codice di tali vulnerabilità nelle loro pagine web sono praticamente invitavano gli attacchi SQL injection sui loro server.
