Ponemon研究所最新報(bào)告稱����,65%的受訪者在過(guò)去一年遭遇了SQL注入攻擊,然而���,很少有企業(yè)采取了一致的措施來(lái)阻止這種攻擊�����。我們外包了大量開發(fā)工作�,仍然難以讓開發(fā)人員在質(zhì)量保障(QA)過(guò)程中執(zhí)行一致的審計(jì)代碼驗(yàn)證����。考慮到這一點(diǎn)�,我們?nèi)绾卫糜邢薜馁Y源來(lái)防止這些攻擊呢?
Nick Lewis:現(xiàn)在有很多可用的工具讓腳本小子用來(lái)廣泛掃描SQL注入(SQLi)����,如此看來(lái),如果只有65%的受訪者遭遇了SQLi攻擊��,那么,這說(shuō)明35%的受訪者在其環(huán)境中沒(méi)有有效的監(jiān)控來(lái)發(fā)現(xiàn)這些攻擊。換句換說(shuō)���,幾乎每個(gè)企業(yè)都是SQLi攻擊的目標(biāo)����。
當(dāng)你外包開發(fā)工作時(shí)�,你需要提出一些問(wèn)題。首先,在與外包開發(fā)商的合同中是否有安全要求�?這些外包開發(fā)商需要標(biāo)準(zhǔn)來(lái)遵循安全開發(fā)生命周期?他們是否對(duì)系統(tǒng)開發(fā)生命周期和如何安全地編碼接受過(guò)培訓(xùn)�?外包開發(fā)商對(duì)代碼中的漏洞是否承擔(dān)責(zé)任?如果這些問(wèn)題的答案是否定的��,那么����,在未來(lái)合同中應(yīng)該增加這些條款,并且���,現(xiàn)有合同應(yīng)該進(jìn)行修訂來(lái)涵蓋這些條款�。
除了外包和這些條款��,企業(yè)還可以添加SQLi掃描儀或者攻擊工具來(lái)發(fā)現(xiàn)軟件開發(fā)過(guò)程質(zhì)量保障周期中的SQLi漏洞�����,并提高安全性��。
開放Web應(yīng)用安全項(xiàng)目有一個(gè)SQLi抵御手冊(cè)來(lái)幫助企業(yè)和開發(fā)人員阻止攻擊���。企業(yè)甚至可以使用腳本小子在其攻擊中使用的相同工具來(lái)發(fā)現(xiàn)潛在易受攻擊的代碼或應(yīng)用��。企業(yè)還可以執(zhí)行靜態(tài)代碼分析來(lái)審計(jì)任何SQLi攻擊代碼����。在這些代碼進(jìn)入生產(chǎn)階段后�,企業(yè)可以使用Web應(yīng)用防火墻來(lái)阻止?jié)撛赟QLi攻擊,或者���,利用入侵防御系統(tǒng)或防火墻中的功能來(lái)阻止攻擊����。
