前段時間有一起敏感的黑客事件被曝光，一個叫“team digi7al”的黑客組織被關閉，原因是他們的一名成員攻擊了美國海軍的web應用“smart web move”。此次攻擊造成美國海軍數據庫超過22萬服役人員的個人信息被泄露。這次黑客攻擊的攻擊手段是什么？——sql注入。

51電子網公益庫存:

PT4115

OCP8155

1954097-1

1954289-1

HV9911

BP1361

IRFB4310

PC1089

PC1030

LM2576S-5.0

STC12C5608AD

SD6900

前段時間，我們曾撰文回應在dark reading網站上發表的一篇關于ips的統計報告，該報告展示了超過十年的攻擊緩解數據，卻漏掉了一個非常關鍵的數據值——應用攻擊。絕大部分web應用攻擊，包括sql注入在內，都在這份報告中被忽視掉了。但不幸的是，web應用攻擊在現實中廣泛存在。

2014年verizon數據泄露調查報告中揭示了web應用攻擊數量是如何增長的，指出“web應用已成為網絡攻擊眾所周知的靶心目標”。這種說法或許聽起來很大膽，但事實的確如此。

•sql注入攻擊的代價是什么？

隨著web應用攻擊日漸增多，我們不得不思考sql注入攻擊的代價。

在arstechnica的一篇文章中，goodin提到美國海軍花費了超過50萬美元（超過300萬人民幣）來處理這一次的數據泄露事故。或許對某些讀者來說這是個瞠目的數字，然而在ntt集團發布的2014全球威脅情報報告中卻指出一個殘酷的事實——“企業對一次小規模sql注入攻擊的平均善后開支，通常超過19萬6千美元（超過120萬人民幣）”。

50萬美金算是讓美國海軍為這次sql注入攻擊導致的數據泄露事故付出了沉重代價。不過，由于安全意識的缺乏和對應用安全的忽視，sql注入攻擊依然是黑客們賺錢的好方法。

•sql注入的現實

sql注入絕不是一個過時的安全問題。作為一種非常容易被利用的攻擊向量，sql注入并不需要高級的攻擊技術便可以盜取信息。事實上，由于sql注入攻擊非常高效，高級黑客往往利用自動化的sql注入工具制造僵尸，建立可以自動攻擊的僵尸網絡。

通過imperva的threatradar眾包威脅情報系統的社區防御服務，我們可以了解sql注入的第一手信息。據我們在過去一個月內全球發生的30萬起攻擊事件中的抽樣數據顯示，24.6%的襲擊是由sql注入造成的。http://ywz168.51dzw.com/

sql注入攻擊并不會在短時間內消停，其背后的web應用攻擊更是一個迫在眉睫的、代價昂貴的重大威脅，處理一次web應用安全事故要花掉超過20萬美元。企業須意識到，部署web應用攻擊緩解策略是必要的、也是首要的安全任務，這是保護企業數據安全關鍵的一步。