老调重弹:11年间SQL进攻仍在加剧

11年前的这一周,Phark杂志出现了一篇文章,主要就是讨论当时也是现在最头疼的问题:SQL的安全问题。

这篇文章发表在1998年的圣诞节,并被认为是世界上第一篇关于SQL安全问题的公开讨论。现在是时候来看看我们多年的受SQL的威胁有没有变化。今天我与IBM X-Force研究机构的Tom Cross讨论了这一话题,并不能阻止我们考虑网络应用的安全,特别是我们面对进入2010年时,我们有着更多的安全隐患。

"到现在为止,这一漏洞已经持续了11年左右",Cross说,"但是知道去年,一年半以前,电脑犯罪已经显现出来这一隐患如何之大,足以导致广泛地金钱窃取事件。我们已经看到了不断曾江的SQL入侵事件,尤其是在这个时期"。

他对大规模做出了解释:在去年夏天,IBM X-Force观察显示,每天有60万件SQL安全入侵事件,而在2008年5月,这一数据是5000。

"现在的情况是,有一大堆的攻击者使用自动化工具,想要在任何网站上进行SQL入侵他们都能发现系统的漏洞",他解释到,"他们想要做的就是通过入侵HTML从而间接指向用户的Web页面,这是一个开放的工具包。通常来看,这些人运行开放的工具包,他们希望直接产生流量,他们希望通过这种流量从而合法的进行SQL入侵"。