Le même code que les concepteurs Web utilisent pour récupérer les informations qui alimente leurs sites Web à partir de bases de données SQL fournit également l'un des vecteurs d'attaque de serveur les plus courantes pour les pirates . Bien que ces vulnérabilités peuvent provenir permettant aux préoccupations d'affaires d'une entreprise à des préoccupations de sécurité atouts en appliquant les correctifs de sécurité , ils peuvent aussi provenir d' une source sans correctif de sécurité peut fixer : mauvaise programmation . SQL Attaques
pages du site Web de
qui attirent des informations de bases de données SQL sont conçus pour prendre de l'information spécifique des utilisateurs, puis utiliser ces informations pour construire une instruction de requête pour extraire des informations spécifiques à partir d'une base de données. Attaques par injection SQL prennent la forme d' utilisateurs du site Web « manipuler ce processus de tromper le code du site en construisant une requête qui retourne des informations sensibles à partir d'une base de données plutôt que de l'information publique de la programmation de la page est conçue pour retourner . En utilisant des astuces telles que la saisie de données non valides dans les champs de saisie pour forcer un message d'erreur qui révèle des informations sur la structure de la base de données ou la saisie de texte qui va provoquer le code pour renvoyer des informations provenant d'autres parties de la base de données, un pirate peut recueillir des informations pour lancer un attaque de grande envergure sur une entreprise ou un serveur de l'organisation .
fournisseurs de logiciels de base de données
d'indisponibilité du serveur libérer les correctifs de sécurité de fermer les vulnérabilités que les attaques par injection SQL peuvent exploiter , en tant que chercheurs en sécurité découvrent , mais les entreprises ne s'appliquent pas toujours ces correctifs à leurs serveurs dès qu'ils sont libérés. Bien que ne pas appliquer immédiatement les correctifs logiciels signifie que les entreprises sont sciemment tourner un serveur avec des vulnérabilités connues , l'application de ces correctifs nécessite de prendre serveurs hors ligne pour maintenance. Cela signifie que les clients ne seront pas en mesure d'accéder aux services en ligne de la société fournit , ce qui entraîne des temps d'arrêt du service à la clientèle ou perte de revenus provenant de la vente en ligne. Pour cette raison , les entreprises retardent souvent mettre les serveurs hors ligne pour appliquer les correctifs jusqu'au moment où ils ont besoin pour effectuer plusieurs autres améliorations et correctifs .
Facilité d' attaque
une attaque par injection SQL est l'une des vulnérabilités les plus faciles à exploiter, et c'est souvent la première attaque d'un pirate novice apprend . Il ya d'innombrables leçons et tutoriels gratuits sur Internet pour enseigner tous ceux qui s'intéressent comment effectuer eux. Combiné avec la popularité des sites Web avec les secteurs public et face pages qui extraient des données à partir de bases de données SQL , cela signifie que n'importe quel pirate potentiel a une richesse de cibles à sonder des attaques par injection SQL. Cela se traduit par des chercheurs en sécurité » constamment apprendre de nouvelles vulnérabilités et des exploits . Alors qu'une société qui a son serveur en maintenance chaque fois qu'il a appris d'une nouvelle vulnérabilité potentielle serait le plus sûr , il aurait aussi beaucoup de temps d'arrêt du serveur .
Mauvaise programmation
Même si une entreprise applique judicieusement chaque correctif publié un fournisseur de logiciels SQL , les correctifs ne peut pas fermer un autre lieu pour des attaques par injection SQL : mauvaise programmation . De nombreuses attaques SQL succès sont le résultat de programmeurs Web » à défaut de prendre des mesures simples telles que la validation des entrées d'utilisateur pour s'assurer qu'il n'est pas conçu pour forcer les messages d'erreur SQL , ou empêchant l'utilisateur de saisir manuellement dans les éléments clés d'une requête SQL qui a pirate pourrait utiliser pour sélectionner les différents champs de données sensibles. Les programmeurs qui codent ces vulnérabilités dans leurs pages Web sont pratiquement invitent attaques par injection SQL sur leurs serveurs.