content/zh-cn/images/repository/isc/42-SQL.jpg

SQL 注入是一种网络攻击类型,黑客使用一段 SQL(结构化查询语言)代码来操纵数据库,并访问具有潜在价值的信息。

这是一种流行范围最广、威胁最大的攻击类型,因为它可用于针对任何使用基于 SQL 的数据库的网络应用程序或网站。

主要示例包括针对 Sony Pictures 和 Microsoft 等企业发起的臭名昭著的攻击。

SQL 注入如何工作?

在标准软件实务中,SQL 查询本质上是发送到数据库(一种计算机化的信息存储库)的请求,用于执行某些类型的活动或功能,例如查询数据或要执行的 SQL 代码。

其中一个示例是通过网络表单提交登录信息以允许用户访问某个网站。

通常,设计此类网络表单是为了接受非常特定类型的数据,例如名称和/或密码。在添加此类信息时,将会对照一个数据库进行检查,如果匹配则授权用户进入。如果不匹配,则拒绝其访问。

由于大多数网络表单都无法阻止输入附加信息,因此有可能会出现问题。黑客可以利用这一弱点,通过表单上的输入框将自己的请求发送到数据库中。这就有可能允许他们执行各种非法活动,包括窃取敏感数据,或者操纵数据库中的信息以达到自己的目的。

日益突出的问题

由于网站和服务器普遍使用了数据库,使得 SQL 注入攻击方法成为历史最久、分布最广的一种网络攻击类型。

黑客社区的几项发展加剧了这种攻击类型的风险,最值得注意的是自动化 SQL 注入程序的出现。

有些开源开发人员免费提供了自动化 SQL 注入程序,允许网络罪犯通过简单的点击攻击过程来访问数据库中的任何表格或任何列,使其只需几分钟就能自动执行攻击。

防御

有多种方式可以预防这些类型的攻击,包括使用网络应用程序防火墙,例如各种卡巴斯基网络安全解决方案中包含的防火墙。另一种预防措施是创建多个数据库用户账户,以便只有特定且受信任的个人才能访问数据库。

相关文章:

相关产品:

什么是 SQL 注入?

SQL 注入是一种网络攻击类型,黑客使用一段 SQL(结构化查询语言)代码来操纵数据库,并访问具有潜在价值的信息。
Kaspersky Logo