「SQL Injection」入侵手法
五月 20th, 2005 by 夏維
這是我們部門專門負責Web的Application、對Web的語法與程式相當有興趣且一直有在專研自修的PO發的群組信
看了看,覺得這跟之前謠傳的新斷線資料庫外洩而引發的RO盜帳說不定是可能性之一所以貼上來
從這篇文章看來,此手法造成的資料庫外洩並非是木馬的關係,當作參考看看囉
雖然我還是不排除新斷線內部人員管理有問題:Q
資料來源網站:
TWCERT-CC 台灣電腦網路危機處理暨協調中心
https://www.cert.org.tw/
標題
「SQL Injection」入侵手法已嚴重威脅到國內八成以上的企業及政府網站!!
簡述
[TWCERT/CC台灣電腦網路危機處理中心]日前新聞報導指出財團法人大學入學考試中
心網頁系統遭一位年僅十九歲之少年駭客入侵並有大量考生個人資料遭竊,此一事件顯
示網路安全及資料保密的重要性已是不容忽視的課題。
而此年輕駭客所採用之入侵手法「SQL Injection」也就是俗稱的「資料隱碼」攻擊;
承辦此案件的刑事局偵九隊亦於日前發佈重大網路安全事件訊息,表示目前日漸普及
的「SQL Injection」攻擊已嚴重威脅到國內八成以上的企業及政府網站,並呼籲各
單位應即刻擬定防範方式。
技術剖析
SQL Injection(正確解釋應為”SQL 指令植入式攻擊”)所針對之攻擊目標既非資料
庫本身亦非作業系統或網站伺服器本身之漏洞來進行;其所利用的是 Input Validation
(輸入驗證)之忽略來進行的,故這般的 SQL Request 指令會被防火牆或是 IDS
(入侵偵測系統)視為一般正常的 TCP 連線而忽略掉,也因此可以輕鬆的繞過重重嚴
密的安全檢驗,而此問題多半是由於網頁設計人員的疏忽所造成。
此類攻擊手法並非植入病毒於你的系統上,而是利用一寫入特殊SQL指令之方式來獲得
存取你系統資料庫的完整權限。換言之,假如您的網站有提供使用者自行輸入SQL指令
之輸入介面,而您又未對使用者輸入之資料型態作嚴密的審核與把關動作,則就有可
能使你的系統暴露在SQL Injection 的風險之下。
不論你公司單位所使用的網站系統是以 Apache、IIS、Domino系統搭配 PHP、ASP、
JSP 之程式語言並透過 MySQL、Oracle、MS SQL Server或Sybase的資料庫來連線等
任何方式所搭配組成,只要你的資料庫系統是採用 SQL (標準查詢語言),則你的系統
就有可能受到影響。
惡意攻擊者可能透過於您網站的網頁輸入介面下輸入夾帶如”SELECT”、”DELETE”
、”INSERT”等關連資料庫指令的字串來促使 DBMS 發生剖析錯誤;或於輸入指令中夾
帶具特殊意義之字元,如 “–”、”’”等來假造其惡意指令之得逞。
防禦辦法
TWCERT/CC 台灣電腦網路危機處理中心 研究發展組李字辰表示,要預防駭客入侵 MIS
人員的素質培養遠比產品或系統本身重要。因此事前的預防措施遠比事後的補救來的重要
,而我們可以做到的有:
1. 定期對網站系統與伺服器進行安全性修補之動作。
2. 過濾輸入字串中可能隱含如”SELECT”、”UPDATE” 等 SQL 指令的字串。
3. 對特殊字元如”-“、”’”進行 replace 的動作。
4. 以類似 Unix 系統之 chroot 的方式限制資料庫使用者的存取權限與範圍。
5. 記錄資料庫指令操作之操作訊息,以便於問題發生時能有效找出原因。
6. 單位內部培養具有資訊安全專業的系統管理者,對系統管理員與程式設計者進行相關
之教育訓練,以增強其對網路安全與緊急回應之處理等相關知識。