随着政务公开、电子商务的推进,政府和企业存储在计算机中的敏感数据呈快速增加趋势,而这些数据往往通过WEB系统面向互联网公开。由于互联网是个开放的网络,WEB系统发布的信息一直处于在被实时查询、阅读、下载或转载的状态;WEB系统如果被篡改或窃取,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网站的利益。尤其是政府机关的网站上发布的重要新闻、重大方针政策以及法规等,一旦被黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会影响。
根据CN/CERT 报告,仅2007年上半年,我国后缀是gov.cn 的政府网站被篡改的数量高达1583个,我国政府及企业WEB系统的安全性急待提高。
 |
根据OWASP组织报告,目前对WEB业务系统威胁最严重的攻击方式是SQL注入攻击(如图)。成功进行SQL注入后,攻击者拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。其攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。
SQL注入攻击具有如下特点:
一、变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不可枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。
二、攻击过程简单,目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。
三、危害大,由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少,大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功,可以对控制整个WEB业务系统,对数据做任意的修改,破坏力达到及至。
据黑客组织分析,目前具有后台数据库的WEB业务系统90%以上存在被SQL注入的可能。
| 共3页: 1 [2] [3] 下一页 | |||||
|
