Ponemon研究所最新報告稱,65%的受訪者在過去一年都受到SQL Injection攻擊。但只有
很少企業採取措施阻止攻擊。我們的工作包括大量開發,但也難以在品質保障(QA)過程中令開發人員有代碼驗證的概念。考慮到這一點,我們如何利用有限資源來防止這些攻擊呢?
Nick Lewis:現在有很多可用的工具讓Script掃描SQLi,如果只有65%的受訪者遇到SQLi攻擊,說明35%的受訪者沒有在有效的監控中發現這些攻擊。換句話說,幾乎每個企業都是SQLi攻擊的目標。
當你開發時,你需要提出一些問題。首先,與開發商的合同中是否有安全要求?這些外判開發商根據什麼標準來開發生命週期?他們是否對系統開發生命週期和編寫程式碼中接受過訓練?外判開發商對漏洞是否會承擔責任?如果這些問題的答案是否定的,那麼,在未來和現有合同應該進行修訂或增加這些條款。
除了外判和這些條款,企業還可以添加SQLi掃描器或者攻擊工具來發現SQLi漏洞,提高安全性。
開放Web應用的安全專案有一本SQLi防禦手冊來幫助企業和開發人員阻止攻擊。企業甚至可以使用和攻擊相同工具來發現潛在的危險代碼或應用程式。企業還可以計算任何SQLi攻擊代碼。在這些代碼進入生產階段後,企業可以使用Web應用防火牆來阻止SQLi攻擊,或者,利用入侵防禦系統或防火牆中的功能來阻止攻擊。
企業不注重網站威脅 近65%受SQL Injection攻擊
https://www.facebook.com/hkitblog