前不久，一起敏感的黑客事件被曝光，随后，一个叫“Team Digi7al”的黑客组织被关闭，原因是他们的一名成员攻击了美国海军的web应用“Smart Web Move”。据了解，此次攻击造成美国海军数据库超过22万服役人员的个人信息被泄露。那么，这次黑客攻击的攻击手段是什么？答案是：SQL注入。

而在此之前，Imperva 公司曾撰文回应在Dark Reading网站上发表的一篇关于IPS的统计报告。该报告展示了超过十年的攻击缓解数据，却漏掉了一个非常关键的数据值——应用攻击。绝大部分web应用攻击，包括SQL注入在内，都在这份报告中被忽视掉了。但不幸的是，事实证明：web应用攻击在现实中仍广泛存在。

2014年Verizon数据泄露调查报告中揭示了web应用攻击数量是如何增长的，其中指出：“web应用已成为网络攻击众所周知的靶心目标”。这种说法或许听起来很大胆，但事实的确如此。

SQL注入攻击的代价是什么？

如今，随着web应用攻击日渐增多，我们不得不思考SQL注入攻击的代价。

在ArsTechnica的一篇文章中，Goodin提到美国海军花费了超过50万美元(超过300万人民币)来处理这一次的数据泄露事故。这是一个令大多数人瞠目的数字，然而在NTT集团发布的2014全球威胁情报报告中却指出一个残酷的事实：“企业对一次小规模SQL注入攻击的平均善后开支，通常超过19万6千美元(超过120万人民币)”。

50万美元的花费让美国海军为这次SQL注入攻击导致的数据泄露事故付出了沉重代价。不过，由于安全意识的缺乏和对应用安全的忽视，SQL注入攻击依然是黑客们赚钱的好方法。

SQL注入的现实

SQL注入绝不是一个过时的安全问题。作为一种非常容易被利用的攻击向量，SQL注入并不需要高级的攻击技术便可以盗取信息。事实上，由于SQL注入攻击非常高效，高级黑客往往利用自动化的SQL注入工具制造僵尸，建立可以自动攻击的僵尸网络。

对此，Imperva的ThreatRadar众包威胁情报系统的社区防御服务，则可以帮助我们了解SQL注入的第一手信息。据Imperva在过去一个月内全球发生的30万起攻击事件中的抽样数据显示，其中24.6%的袭击是由SQL注入造成的。

SQL注入攻击并不会在短时间内消停，其背后的web应用攻击更是一个迫在眉睫的、代价昂贵的重大威胁，处理一次web应用安全事故要花掉超过20万美元。因此企业须意识到：部署web应用攻击缓解策略是必要的、也是首要的安全任务，而这，也是保护企业数据安全关键的一步。

(责任编辑：aqxh)