最近，來自俄羅斯和烏克蘭的五名嫌犯被起訴涉嫌盜竊超過一億六千萬信用卡號碼和其他財務數據，受害企業包括NASDAQ、JCP、Carrefour、Discover Bank、Hannaford、Heartland和Dow Jones。起訴書上顯示，在2005年到2012年七年的時間中，嫌犯共盜取受害者達3億美元的資產。

從該事件中我們了解到，在大多數情況下，黑客們并沒有采用特別復雜的方法來入侵企業網絡。通常是通過SQL注入漏洞來發動攻擊，而這個漏洞的存在已經超過十年之久。

例如，NASDAQ網絡最初遭受攻擊是源自在線密碼提醒頁面上的SQL注入漏洞，這個漏洞可以讓黑客們未經授權而進入到公司的網絡系統，最終控制整個網絡系統。

通過SQL注入攻擊，黑客們利用編碼較差的Web應用軟件在企業的系統和網絡中安裝惡意代碼。當web應用程序沒能正確過濾或驗證用戶輸入的數據，例如網上購物或重設密碼時，這個漏洞就可能被利用。

黑客可以利用輸入驗證錯誤來發送偽造SQL查詢到底層數據庫，從而入侵數據庫，安裝惡意代碼，或入侵網絡上的其他系統。

SQL注入漏洞一旦發現，很容易修復。但IT專業人員面臨的挑戰是去哪里查找這些漏洞。在大型web應用程序中，用戶可以在上百處地方輸入數據，每一個都可能為黑客提供機會。

多年來，黑客一直在利用SQL注入漏洞，因為這種漏洞比較容易掌握。近年來，SQL注入攻擊是黑客們入侵網絡最受歡迎的方法之一。

一些安全專家和組織(例如支付卡行業安全委員會)長期以來一直在敦促企業徹底掃描web應用程序中的這種漏洞。他們建議使用web應用防火墻來緩解這種威脅。

PCI委員會要求企業進行全面的源代碼分析來掃除這些漏洞，或者使用web應用程序防火墻。

即便如此，很多公司仍然未能全面部署這些措施來緩解SQL注入威脅，Gartner分析師Avivah Litan說，“SQL注入攻擊之所以能夠成功，是因為企業并沒有部署足夠好的保護。”

Litan表示，雖然企業知道應用程序代碼審查和部署應用防火墻的必要，但很多企業因為資源問題往往忽略了這些問題。

“企業沒有部署這些措施是因為，他們已經不堪重負，他們沒有足夠的資金和資源來解決SQL問題，”她表示，“企業非常需要進行預算優先排序，并解決組織孤島問題。”

應用安全公司WhiteHat Security創始人兼首席技術官Jeremiah Grossman表示，很多企業的軟件開發資源已經完全耗盡了。

“你的編程員需要不斷為客戶推出新功能，以確保為企業創收。如果他們慢下來，或者做別的工作，例如修復其代碼中的漏洞，這肯定會犧牲他們開發新功能的時間，所以他們當然沒有足夠的時間和資源來做所有的事情。”

“對于SQL注入漏洞問題，我們了解它也知道如何修復它，但是核心問題是SQL漏洞的規模以及開發資源限制。”(編譯/鄒錚)