SQL Injection新威脅大剖析

SQL Injection新威脅大剖析
http://www.ithome.com.tw/itadm/article.php?c=50860&s=1

現在只要花400元，不論是否懂駭客攻防原理、原則，幾乎人人可變成SQL Injection駭客，而面對這些不斷翻新手法的SQL Injection攻擊，企業必須掌握駭客經濟學的特性，才能找到有效的縱深防禦策略。

從駭客經濟學看SQL Injection攻防
SQL Injection是一個有10年歷史的老問題了，而駭客的攻擊手法隨著時間的演進也不斷的推陳出新，企業必須要站在駭客的角度思考，從駭客經濟學的角度來思考戰略，才能持續打贏這場沒有終點的網路攻防戰。

4大SQL Injection防護絕招
絕招1 借力使力，從攻擊手法學防守
資安專家一致認為SQL Injection攻擊手法其實是老問題，但企業網站遭受SQL Injection攻擊的事件卻層出不窮，若要有效建立防護機制，企業必須借力使力，善用各種可用資源，甚至懂得利用駭客的攻擊資訊，來建構網站的防禦系統，讓防護人力發揮最大的效果。

絕招2 中途攔截，及時打斷攻擊路線
從SQL Injection攻擊地圖來看，不論是MS SQL/ASP或是MySQL/PHP，從前端網頁入侵到後端資料庫的過程，是一連串的攻擊組合，必須一氣呵成，才能達到入侵的效果。因此只要監控SQL Injection攻擊路線，及時打斷駭客入侵的連續程序，就能達到防禦效果。

絕招3 縱深防禦，用隔離與監控來鞏固
資料庫是SQL Injection攻擊的主要目標，理論上，採取徹底的隔離策略，就能有效降低潛在的入侵風險。若能清查資料庫帳號權限，只允許有經驗的資料庫人員接觸，就能有效預防潛在風險。

絕招4 先擋再修，以應用防火牆搶時間
企業網站發生SQL Injection問題後，不論是添加檢查使用者輸入資料的程式碼，或者是調整資料庫權限架構等，都需耗費數周時間才能達到一定的防護效果。而應用程式防火牆雖然要價百萬，卻可快速建立網站基本防護，爭取修補程式的緩衝時間，也是一個不錯的防護方法。