資安服務說明 關於本網站 網站導覽
i-Security 電子報 第 112期【2011/08/31】

(2011.08.31  第一一二期)

資安隨堂測驗

Q1. D
Q2. D

Q3. B

 




 
小撇步類別 :
網路安全
人員與環境安全
資料與存取安全
系統安全
案例
  資料庫遭受SQL Injection攻擊 員工客戶資料失竊(資料與存取安全)  
  發生日期:2011/4/12
案例情境:某網路安全設備公司的執行副總裁日前表示,該公司因為設定錯誤,導致網路安全設備形同虛設,讓駭客為所欲為。且駭客也將成果張貼到網路上,包含員工姓名、電子郵件帳號、加密後的密碼、經銷商電話等。駭客在文章內表示是使用SQL Injection(隱碼攻擊)取得資料,還感謝九名及所有其他馬來西亞駭客。

執行副總裁表示,公司犯了一個錯誤,他們將防火牆設定為被動監控模式,因此防火牆僅監控流量進出記錄而不做任何防禦。隔日晚上駭客使用自動掃描方式,在兩個小時左右發現該公司網站弱點,然後換一個IP進行攻擊,在網站中注入隱碼攻擊腳本,以蒐集該公司的資料,內容包含經銷商及員工的姓名、電子郵件帳號等資料。

該公司表示,受影響的資料庫包含密碼,但幸好這些密碼均用單向的加料雜湊演算法加密(one-way cryptographic hashes of salted passwords,單向、隨機加字串的雜湊加密),就算遭竊取也應該安全無慮。其他資安公司表示,雜湊加密法有點過時了,但目前常見的工具無法直接破解加料過的密碼,因此的確會比較安全。

資料來源:iThome
http://www.ithome.com.tw/itadm/article.php?c=67001

防範措施:
越來越多網站使用資料庫系統,這也意味著隱含漏洞的網站數量也越來越多,程式設計師在撰寫程式時應注意防範SQL Injection的攻擊,同時將網站和資料庫的安全視為撰寫程式的基本要求之一,以免成為惡意人士的攻擊目標。
下面提供幾則小撇步供參考,讓技術人員在系統開發之管控上能更多方面思考:
1.所有輸入值都必須針對SQL特殊字元和長度、型態做檢查。
2.結合SQL字串前應先檢查輸入值內容,同時若有帳號密碼比對時,應在程式中執行,不可寫在SQL語法中。
3.網頁上不可顯示資料庫的錯誤訊息,程式應攔截所有錯誤訊息,並用錯誤代碼或是其他說明文字替代。
4.程式存取資料庫的權限應提供最小權限。
5.管理帳號不應設定常見的「admin」,或是前台不應設置管理帳號。
6.定期修補作業系統與網站伺服器的漏洞。

 
     

最近案例
病歷當便條紙 病患隱私遭洩漏…
小心離職員工的回馬槍…
中選會網站出ㄘㄟˊ…
高校生帳號被盜 莫名被買家罵詐欺…
色情遊戲埋木馬個資被公開 制裁盜版使用者的網站出現…

 

 
 
Copyright ©NII 產業發展協進會 隱私權政策免責聲明IPR