网页设计,程序设计,网绎 - 小心SQL Injection机器人

网页设计,网页设计公司,网页程序设计,网站程序设计,台北网页设计,无障碍网页设计,3d互动网页设计, 720度环场,网站建置,主机代管,电子商务,政府机关网页设计,公家机关网页设计,网站制作公司

网页设计∣程序设计∣网站规划∣虚拟主机与主机代管∣关于网绎∣我们的服务∣我们的客户∣无障碍网页∣网站优化SEO∣联络我们

::: ∣回首页∣网站地图∣繁体中文∣ENGLISH∣日本语∣

∣

:::

透过网绎将您的网站轻松的通过无障碍网页检测标准，达到转换网页无障碍，扩充单元无障碍，新增内容无障碍的功能。

> 新庄市公所开新窗口

:::	回首页 >> 信息与知识库

标题	小心SQL Injection机器人
主题分类	系统与程序设计
原文章出处	iThome

SQL Injection（数据隐码）一直是令人头痛的问题，这个利用SQL指令语法注入隐藏程序代码的攻击手法，在2001年就开始出现，但今日SQL Injection仍是网站的一大威胁。

即使教导防御SQL Injection的信息唾手可得，但许多网站至今仍存在SQL Injection漏洞。在上个礼拜发生的一波大量Mass SQL Injection攻击之中，台湾有许多网站就遭受攻击，被植入恶意程序的连结。

这种短时间内造成大量攻击的手法，可说是SQL Injection攻击的进化版，改变了以往我们对于这类攻击的认知。

资安专家的追踪分析发现，黑客是先利用自动程序，以Google搜寻引擎，快速地找寻有SQL Injection漏洞的网站服务器，一旦找到攻击标的，就利用SQL指令语法，把恶意连结写入数据库字段中，这个连结则指向恶意网站的Java Script。

黑客直接在数据库字段中植入恶意连结的作法，是比起以往在网页中植入恶意连结的方法，来得更快更有效率；以前的攻击效率不够高，只能在特定的网页中植入恶意连结，像是网站的首页，但现在直接把恶意连结写入数据库字段中，几乎可说受害网站中的多数网页都会含有恶意连结。

在这次Mass SQL Injection攻击中，黑客第一波攻击网站服务器的目的，是要先建立一批毒窟网站，藉由这些网站去感染更多的计算机，为下一波的攻击布椿。因为个人计算机一旦浏览了这些受害网站的网页，隐藏在网页中的Script就会在背地里连结恶意网站的Java Script，执行自动下载且安装能够控制计算机的恶意程序，像是木马程序、后门程序之类。

然而，这些恶意程序要怎么钻进计算机里呢？黑客的第二波攻击所利用的手法，也是以往较为罕见的。以前黑客常利用操作系统的漏洞来攻击，但近来像是Windows操作系统的漏洞修补，都已经透过Windows Update做到更为实时的修补，黑客要钻操作系统漏洞，成功的机会越来越低，因而黑客这次瞄准绝大多数计算机都会安装的Adobe Flash播放器的漏洞。这么做就是看准大家忽略一般应用程序的漏洞修补，以及这些应用程序目前仍缺乏像Windows Update这样实时的程序更新机制。

一旦个人计算机被黑客利用Flash漏洞而入侵成功，成为黑客的囊中物，就是黑客日后可以用来发动其它攻击的傀儡计算机之一。黑客可以利用这些傀儡计算机来谋利，像是窃取计算机里的个人数据与机密数据，或是利用这些计算机来攻击特定对象，造成大规模的DDoS攻击，以瘫痪特定的网站或网络。

从这次的攻击事件来看，SQL Injection已经发展为自动化的机器人攻击模式了，然而目前仍只是看到雏型，资安专家预期下一波攻击的出现后，黑客的自动化攻击机制就会更为明确。

对于SQL Injection机器人的来袭，企业需要注意的是，SQL Injection的攻击已经不再是以往我们所认知的手工攻击手法，在自动化的SQL Injection机器人攻击之下，不是只有知名网站才会被攻击，而一旦被入侵成功，后续造成的冲击也会比以往更大。该怎么有效防御SQL Injection攻击呢？就如数联资安研发处副总经理张裕敏所言，以ASP.NET平台的防御来说，微软早就公布了很完整的作法，只是大家不太愿意仔细研读近9百多页的手册，请见本期的新闻深度报导。

文章整理：
关键词：	SQL Injection , 资料隐码

网绎数码科技网页设计　地址：台北市复兴南路一段321号3楼　Tel： (02)2704-1758(代表号) Fax： (02)2704-0372　Email：e-service@eki.com.tw