根据网络黑客攻击事件资料库(Web Hacking Incidents Database,由
Web应用安全联盟WASC发起的)的年度报告信息显示,窃取钱财或者盗取数据仍然不是黑客攻击的最大动机,虽然近年来涉及数据盗窃的攻击呈明显上升趋势。
“虽然经济利益无疑是网络攻击的主要驱动力,不过我们也不能忽视意识形态的攻击,”由加州安全软件供应商Breach Security公司发起的这次调查(获得WASC的支持)的结果表明。
虽然2008年发生了几十万起网站攻击事件,这次调查也对这些事故的分析进行了严格的筛选:研究人员只会研究那些被公开披露的,涉及应用程序安全问题并对所攻击的网站有严重影响的攻击事故。这些要求使得研究人员侧重于研究攻击事故造成的潜在商业影响以及导致发生攻击的技术问题
研究发现,大多数受到名誉损毁攻击的网站都是“政治性质的政治团体、政党候选人和政府部门”的网站,其他的则设计文化冲突问题,如伊斯兰攻击者攻击西方网站。
报告表明,攻击者第二个最常见的攻击目的就是窃取关键信息,57起攻击事故中有11起(19%)是出于这样的目的。紧跟其后的是植入恶意软件,共有9起(16%),而出于造成金钱损失目的的攻击时间占13%,共有7起。
最常见的攻击方式是SQL注入攻击,攻击者将命令输入web表格或者URLs以从数据库窃取信息或者在网站植入恶意程序,以感染访问网站的计算机用户。报告结果发现,57起事故中有17起(30%)使用的是SQL注入攻击。
2008年,使用自动工具发掘对SQL注入攻击没有做防御措施的网站的攻击形式掀起一股攻击浪潮,与此同时,安全供应商估计当时约有500000网站受到攻击。
这些攻击事件告诉我们,SQL注入攻击已经取代跨站脚本攻击成为攻击网站最常使用的攻击方式,跨站脚本漏洞比SQL注入错误更加容易被发现,不过这种攻击方式很难让攻击者来获得经济利益。
相关阅读:
刑法修正案:黑客量刑加重 最高判7年监禁
少年黑客入侵网站骗奖近5万
同性恋网站遭黑客攻击 求助无门凸显灰色生存
攻击政府网站 黑客团伙成员17人落网
躲猫猫”事发地政府网站遭黑客攻击