SQL Injection：过去10年最普遍的漏洞

10年前，第一份关于SQL Injection的研究发布。十年后，这个漏洞仍然是最普遍的漏洞之一：它对企业和network都是危险。

什么是SQL Injection？

SQL Injection是使用关系数据库的Web应用中最常被利用的漏洞。Hacker可以向数据库发送任意SQL命令，这些命令会由server执行，使数据暴露在我们很容易想象的风险下（未授权访问、所有数据丢失等）。

当Web应用使用用户提供的数据，却没有适当验证或编码时，就可能发生SQL Injection攻击。

攻击者提供专门的输入数据来欺骗SQL解释器，并执行原始应用代码中不存在的命令。解释器无法区分恶意代码和正常代码，因此会毫无问题地执行。

如果攻击成功，恶意者可以创建、读取、更新或修改数据库中保存的数据。SQL Injection可能允许访问敏感信息，例如密码、社会保障号码、客户资料和生产数据、信用卡或其他财务数据。

SQL Injection何时诞生？

SQL Injection的发明者可能是Rain Forest Puppy，一位网络安全专家，他于1998年在Phrack文章中首次描述了这种攻击技术：NT Web Technology Vulnerabilities（注：文章非常技术化）。

基于SQL Injection的攻击已经攻破世界各地各类企业和公司的信息系统。以下是10年中发生的事情：

• 1998年2月：Rain Forest Puppy发布第一批关于SQL Injection的文档；
• 2002年3月：时尚公司 Guess被攻破，200,000张信用卡面临风险；
• 2005年7月：University of Southern California的信息系统存在脆弱应用；
• 2006年12月：hacker访问UCLA（University of California, Los Angeles）800,000条学生记录；
• 2007年6月：Microsoft UK网站通过SQL Injection被修改和删除；
• 2008年4月：由于SQL Injection漏洞，500,000个网站感染Malware；
• 2008年：Heartland Payment System被攻破。1.3亿张信用卡被盗；
• 2010年8月：50万个网站受到自动化SQL Injection攻击；
• 2010年11月：Royal Navy网站遭受攻击；
• 2011年3月：Expedia客户email列表被盗；
• 2011年3月：Oracle 收购 MySQL，oracle.com通过SQL Injection被攻破；
• 2011年4月：数十万个web site遭到大规模攻击；
• 2011年4月：应用防火墙厂商Barracuda Network被攻破；
• 2011年5月：Certification Authority Comodo通过其巴西合作伙伴被攻破（它能够为互联网上任何网站签发SSL证书）；
• 2011年5月：Sony六个网站被攻破：Sony BGM Greece、Sony Music Japan、Sony Canada、Sony Pictures France、Sony Pictures Russia、Sony Music Portugal。
• 2011年6月：被攻破的包括：PBS、CanadianConservative Party、CNN网站和游戏公司Sega。

恶意hacker拥有利用您Web应用漏洞实施SQL Injection攻击的所有工具，因此必须以安全方式开发应用，并按明确周期执行安全检查。

如果您认为自己的系统可能存在风险，请让IT security专业人士评估贵公司的信息系统：EasyAudit会帮助您识别系统漏洞。全部由EasyAudit Checked标志保证，这是给客户的保证。