 |
台湾 行销企划部
电话:(02) 2704-1758
传真:(02) 2704-0372 |
| |
USA Service Dept.
ADD:5138 Parkfield Ave.
San Jose, CA95129
Tel:408-2034565
|
|
|
|
| 标题 |
小心SQL Injection机器人 |
| 主题分类 |
系統與程式設計 |
| 原文章出处 |
iThome |
SQL Injection(数据隐码)一直是令人头痛的问题,这个利用SQL指令语法注入隐藏程序代码的攻击手法,在2001年就开始出现,但今日SQL Injection仍是网站的一大威胁。
即使教导防御SQL Injection的信息唾手可得,但许多网站至今仍存在SQL Injection漏洞。在上个礼拜发生的一波大量Mass SQL Injection攻击之中,台湾有许多网站就遭受攻击,被植入恶意程序的连结。
这种短时间内造成大量攻击的手法,可说是SQL Injection攻击的进化版,改变了以往我们对于这类攻击的认知。
资安专家的追踪分析发现,黑客是先利用自动程序,以Google搜寻引擎,快速地找寻有SQL Injection漏洞的网站服务器,一旦找到攻击标的,就利用SQL指令语法,把恶意连结写入数据库字段中,这个连结则指向恶意网站的Java Script。
黑客直接在数据库字段中植入恶意连结的作法,是比起以往在网页中植入恶意连结的方法,来得更快更有效率;以前的攻击效率不够高,只能在特定的网页中植入恶意连结,像是网站的首页,但现在直接把恶意连结写入数据库字段中,几乎可说受害网站中的多数网页都会含有恶意连结。
在这次Mass SQL Injection攻击中,黑客第一波攻击网站服务器的目的,是要先建立一批毒窟网站,藉由这些网站去感染更多的计算机,为下一波的攻击布椿。因为个人计算机一旦浏览了这些受害网站的网页,隐藏在网页中的Script就会在背地里连结恶意网站的Java Script,执行自动下载且安装能够控制计算机的恶意程序,像是木马程序、后门程序之类。
然而,这些恶意程序要怎么钻进计算机里呢?黑客的第二波攻击所利用的手法,也是以往较为罕见的。以前黑客常利用操作系统的漏洞来攻击,但近来像是Windows操作系统的漏洞修补,都已经透过Windows Update做到更为实时的修补,黑客要钻操作系统漏洞,成功的机会越来越低,因而黑客这次瞄准绝大多数计算机都会安装的Adobe Flash播放器的漏洞。这么做就是看准大家忽略一般应用程序的漏洞修补,以及这些应用程序目前仍缺乏像Windows Update这样实时的程序更新机制。
一旦个人计算机被黑客利用Flash漏洞而入侵成功,成为黑客的囊中物,就是黑客日后可以用来发动其它攻击的傀儡计算机之一。黑客可以利用这些傀儡计算机来谋利,像是窃取计算机里的个人数据与机密数据,或是利用这些计算机来攻击特定对象,造成大规模的DDoS攻击,以瘫痪特定的网站或网络。
从这次的攻击事件来看,SQL Injection已经发展为自动化的机器人攻击模式了,然而目前仍只是看到雏型,资安专家预期下一波攻击的出现后,黑客的自动化攻击机制就会更为明确。
对于SQL Injection机器人的来袭,企业需要注意的是,SQL Injection的攻击已经不再是以往我们所认知的手工攻击手法,在自动化的SQL Injection机器人攻击之下,不是只有知名网站才会被攻击,而一旦被入侵成功,后续造成的冲击也会比以往更大。该怎么有效防御SQL Injection攻击呢?就如数联资安研发处副总经理张裕敏所言,以ASP.NET平台的防御来说,微软早就公布了很完整的作法,只是大家不太愿意仔细研读近9百多页的手册,请见本期的新闻深度报导。
|
| 文章整理: |
|
| 关键词: |
SQL Injection , 资料隐码 |
|
|
|
