? Samma kod som webbdesigners använder för att hämta den information som driver deras webbplatser från SQL-databaser ger också en av de vanligaste vektorerna server attack för hackare . Även om dessa sårbarheter kan härröra från ett företags möjliggör företagens önskemål Trump säkerhetsfrågor i tillämpningen säkerhetsuppdateringar , kan de bero också från en källa utan säkerhet patch kan fixa : dålig programmering . SQL Attacks
Webbsidor som drar information från SQL-databaser är utformade för att ta in specifik information från användare , och sedan använda den informationen för att skapa en fråga sats för att hämta specifik information från en databas . SQL injection attacker i form av webbplatsens användare " manipulera denna process för att lura webbplatsens kod till att konstruera en fråga som returnerar känslig information från en databas i stället för den offentliga informationen sidans programmeraren är utformad att återvända . Genom att använda trick som anger data i inmatningsfälten att tvinga ett felmeddelande som avslöjar information om databasens struktur , eller skriva in text som gör att koden för att returnera information från andra delar av databasen , kan en hacker samla in information för att lansera en massivt angrepp mot ett företag eller organisation server .
server driftstopp
databasprogram leverantörer släpper säkerhetsuppdateringar att stänga sårbarheter som SQL injection attacker kan utnyttja , eftersom säkerhet forskare upptäcker dem , men företagen inte alltid tillämpa dessa patchar till sina servrar direkt efter att de släppts . Även om inte omedelbart tillämpa programfixar innebär att företagen medvetet kör en server med kända sårbarheter , kräver tillämpningen av dessa patchar tar servrar offline för underhåll . Detta innebär att kunderna inte kommer att kunna komma åt online- tjänster som företaget tillhandahåller , vilket resulterar i kundtjänst driftstopp eller förlorade intäkter från online-försäljning . Av denna anledning , företag ofta vänta med servrar offline att applicera patchar tills en tid när de behöver för att utföra flera andra uppgraderingar och patchar .
Ease of Attack
en SQL-injektion attack är en av de enklaste sårbarheter att utnyttja , och är ofta den första attacken en novis hacker lär . Det finns otaliga lektioner och tutorials gratis på Internet för att undervisa alla som är intresserade hur man utför dem . Kombinerat med populariteten för webbplatser med offentlig - vända sidor som hämtar data från SQL-databaser , innebär detta att varje potentiell hacker har en mängd mål att sondera med SQL injection attacker . Detta resulterar i säkerhet forskare " ständigt lärande av nya sårbarheter och utnyttjar . Även ett företag som tog sin server nere för underhåll varje gång det talas om ett nytt potentiell sårbarhet skulle vara den mest säkra , skulle den också ha en hel del server driftstopp . Addera Dålig Programmering
Även om ett företag lämpligen tillämpas varje patch en SQL programvara leverantör har släppt , kan patchar inte stänga av en annan plats för SQL injection attacker : dålig programmering . Många framgångsrika SQL- attacker är resultatet av Web programmerare " misslyckas med att vidta enkla åtgärder såsom validera användarens input för att säkerställa att det inte är utformad för att tvinga SQL felmeddelanden , eller hindrar användaren från att manuellt skriva in viktiga delar av en SQL-fråga som en hackare kan använda för att välja olika känsliga datafält . Programmerare som koden sådana sårbarheter i sina webbsidor är praktiskt inbjudande SQL injection attacker på sina servrar .
