【TechTarget中国原创】专家称，SQL注入攻击可能马上会和那些以Windows和Unix漏洞为目标的攻击一样普遍。据估计，使用动态内容的网络应用程序中，60%很有可能受到攻击，并为企业带来毁灭性的后果。这周，在拉斯维加斯举行的Black Hat Briefings上将有一次陈述：介绍以SQL注入漏洞为目标的自动攻击。对SPI Dynamics的技术总监Caleb Sima进行了面对面的采访，他将会告诉你：应该担心什么，为何要减轻风险，以及如何减轻风险。

　　TechTarget：请您用基本的术语描述一下，什么是SQL注入漏洞，以及它会带来什么样的威胁？

SPI Dynamics 的技术总监，Caleb Sima（以下简称SIMA）：当外部输入直接传输到SQL字符串和数据库中时，就会产生SQL注入漏洞。这就使得攻击者可以附带使SQL命令在那个字符串上起作用，并且操作或者窃取数据库信息，或者执行系统命令。

　　TechTarget：您认为有多少网站受到了SQL注入漏洞的影响？

　　SIMA：这个漏洞极其普遍，很可能是最大的漏洞之一。它与语言无关。SQL注入可以发生在JSP、ASP、PHP、以及其它语言。SQL注入也能发生在Oracle数据库中。仅从ASP角度来说，我敢说95%的网址似乎都容易受到SQL注入攻击。使用动态内容的网络应用程序中，可能60%也容易受到攻击。

　　TechTarget： SQL注入漏洞会对企业产生什么影响？

　　SIMA： SQL注入漏洞具有相当高风险的影响力——并且是破坏性的。如果某个企业的网站中SQL注入存在漏洞，那么任何具备一定知识的攻击者，都可以直接从网络服务器上引用整个后端数据库。

　　今天的大多数IDS很难检测到SQL注入攻击。因此，如果在网络服务器或者网络的前端有IDS或者ISP设备，它并不能真正地阻止SQL注入。由于网络服务器允许与数据库通信，而且和命令进行传送到数据库服务器，如果数据库处于网络的内部，影响也是一样的。这就意味着直接从因特网便可以很容易地破坏内部网络。SQL注入问题很重要。

　　TechTarget：您已经讲述了大量可能的攻击目标。攻击者是否有办法可以减少易受到攻击网站的列表？

　　SIMA“Google hacking”——使用搜索引擎来定位易受攻击的站点——是一种古老的方式，但却日益流行。使用特定的搜索请求和对照信息，攻击者就可以确定使用SQL注入的站点，并且接着进一步减小搜索结果，进而定位易受攻击的站点和活跃目标。依攻击者的意图而定，“活跃”可以意味着电子商务站点、政府站点或者其它一些站点。下一步就是测试这些站点是否存在SQL注入漏洞。创建一个程序，进而使这一过程自动化，是非常简单的。

　　接下来，黑客所要做的就是运行这个工具，确定使用SQL注入的站点，并且在易受攻击的站点使用自动SQL注入工具下载数据库。一分钟内可以找到500个数据库。这些数据库可能是信用卡号码、用户名和密码或者机密信息。这可以建立进而定位易受攻击的站点，引用出并保存数据库。编码、按下按钮、然后走开。随后，就可以得到有漏洞站点中的所有数据。