? O mesmo código que os designers da Web usam para recuperar as informações que alimenta seus sites de bancos de dados SQL também fornece um dos vetores de ataque mais comuns para o servidor de hackers. Enquanto essas vulnerabilidades podem resultar de permitindo que preocupações de negócios da empresa para questões de segurança trunfo na aplicação de patches de segurança , eles também podem provir de uma fonte não patch de segurança pode corrigir : má programação. Ataques de SQL
as páginas do site que extraem informações dos bancos de dados SQL são projetados para absorver informações específicas dos usuários, em seguida, usar essa informação para a construção de uma instrução de consulta para recuperar informações específicas a partir de um banco de dados. Ataques de injeção SQL assumir a forma de website usuários ' manipular esse processo para enganar o código do site em construção de uma consulta que retorna informações confidenciais de um banco de dados ao invés da informação pública do programador da página projetou para retornar. Ao usar truques como a inserção de dados inválidos em campos de entrada para forçar uma mensagem de erro que revela informações sobre a estrutura do banco de dados, ou a introdução de texto que fará com que o código para retornar informações de outras partes do banco de dados, um hacker pode reunir informações para lançar um grande ataque em uma empresa ou servidor da organização.
servidor inatividade
fornecedores de software de banco de dados de patches de segurança de liberação para fechar as vulnerabilidades que os ataques de injeção de SQL podem explorar , como os pesquisadores de segurança descobri-los , mas as empresas nem sempre se aplicam esses patches para seus servidores imediatamente após serem liberados. Embora não seja imediatamente aplicar patches de software significa que as empresas estão conscientemente executando um servidor com vulnerabilidades conhecidas , aplicando essas manchas requer a tomada de servidores offline para manutenção . Isto significa que os clientes não serão capazes de acessar os serviços on-line a empresa oferece , o que resulta em tempo de inatividade de atendimento ao cliente ou perda de receita de vendas on-line . Por esta razão , as empresas freqüentemente atrasar deixar os servidores offline para aplicar patches até um momento em que eles precisam para executar várias outras atualizações e patches.
Facilidade de Ataque
um ataque de injeção de SQL é uma das vulnerabilidades mais fáceis de explorar , e muitas vezes é o primeiro ataque um hacker iniciante aprende . Existem inúmeras lições e tutoriais gratuitos na Internet para ensinar quem está interessado como executá-los . Combinado com a popularidade de sites com páginas voltados ao público que recuperam dados de bancos de dados SQL , isto significa que qualquer hacker em potencial tem uma riqueza de metas para sondar com ataques de injeção de SQL. Isso resulta em pesquisadores de segurança ' aprendendo constantemente de novas vulnerabilidades e exploits . Enquanto uma empresa que teve o seu servidor em manutenção cada vez que aprendemos de uma nova vulnerabilidade potencial seria o mais seguro, ele também teria um monte de inatividade do servidor .
Pobre Programação
Mesmo que uma empresa expediente aplicado a cada patch de um fornecedor de software SQL liberados , os remendos não pode fechar outro local para ataques de injeção de SQL: má programação . Muitos ataques de SQL bem sucedidas são o resultado da Web programadores " não tomar as medidas simples, como validar a entrada do usuário para garantir que ele não foi projetado para forçar as mensagens de erro do SQL, ou impedindo que o usuário digitar manualmente em elementos-chave de uma consulta SQL que uma hacker pode usar para selecionar diferentes campos de dados sensíveis. Os programadores que tais vulnerabilidades de código em suas páginas da Web são praticamente convidando os ataques de injeção SQL em seus servidores.
