台湾HITCON Zero Day漏洞通报平台,已经转告日盛证券由乌云通报的漏洞细节,预料正在着手处理中。
图片来源:日盛证券
中国漏洞通报平台乌云(WooYun)在3月3日下午3点57分公布,日盛证券网站因为有SQL Injection(隐码攻击)的漏洞,导致有数亿笔的资料外泄。受托回报的台湾HITCON Zero Day漏洞通报平台窗口翁浩正表示,在当天下午已经立即转告日盛证券相关漏洞资讯,态度相当正面,预料应该正在着手修复中。但目前尚未与日盛证券资讯部取得联系,尚未得知漏洞影响范围及相关修复进度。
SQL Injection在针对Web安全漏洞的OWASP前10大的漏洞中,在2013年排名第一名的漏洞,而SQL Injection的攻击方式,主要是在输入SQL语法时,夹带一些恶意的资料库查询语法及特殊字元,输入到开发者使用的程式码中,只要这些恶意字元或语法符合SQL查询语法的规则,而且没有办法事先检查出来时,资料库伺服器就会直接执行被修改过的恶意SQL语法,会对资料库系统或者是储存资料造成很大的危害,可能导致包括个人帐号、密码等机敏资料外泄。
此外,SQL Injection也可能让骇客知道资料库的结构,便于进一步攻击;可能因为资料库伺服器遭到攻击,系统管理员Admin帐户遭到窜改,骇客对整个系统将如入无人之境;也可能因为骇客取得系统权限后,可以在网页中加入一些恶意网址、植入恶意程式或者是造成XSS(跨站网站攻击)漏洞等;骇客也可能有机会修改或控制作业系统,进一步破坏或格式化硬盘资料,甚至瘫痪整个网站系统等。
也因为SQL Injection不只发生在微软的SQL Server资料库伺服器上,只要是支援批次处理SQL指令的资料库伺服器,都有可能遭到这类攻击。
预防SQL Injection的方法
至于要如何避免遭遇到SQL Injection的攻击呢?叡扬资讯则提出6大建议,首先,要限制存取资料库系统者的权限,不允许除了系统管理者之外的使用者,有权力新增资料库物件。
再者,建议采用参数化( Parameterized)查询语法,过滤使用者需入的內容,或者使用参数化的查询方式,让使用者输入的各种变数,都不会直接动态连结到SQL查询语法,而是透过参数来传递这个变数的化,就可以有效避免SQL Injection的攻击。
第三点,必须加强对使用者输入资料的检核与验证,只接受所需要的参数值,拒绝包含二进位资料、Escape 跳脱字元和注释字元等一些容易造成攻击的特殊字元过滤与验证;或者是强迫使用者使用参数化语句来传递使用者输入的內容。
第四点,建议使用者应该尽量使用微软SQL Server 资料库伺服器內建的安全参数,像是使用Parameters(参数化)集合,可以让使用者输入的內容视为字元值而非资料库执行语法,也会强制执行资料型别和长度检查,避免系统执行可疑的语法造成伤害。
第五点,在多层次(N-Tier)的应用架构中,使用者所输入的各种资料,都应该在经过验证后,才被允许进入到可以信任的资料区域;如果,使用者输入的资料还没有通过资料验证程序时,这些资料都应该在执行资料库任何动作前被拒绝,并向上一层传回错误资讯。
第六点,建议可以使用白箱的程式码源码检测工具,像是HP Fortify;或是黑箱的渗透测试及弱点扫描工具来寻找应用系统所隐含的漏洞,自动化弱点扫描工具包括针对主机扫描的免费软件Nessus,以及可扫瞄OWASP常见弱点的开源软件w3af;渗透测试则是更深度检测网站漏洞的方式。
不过,如何让开发人员学会安全的程式开发,才是真正的终极解决之道。
中国漏洞通报平台乌云在3月3日下午通报,日盛证券网站有SQL Injection漏洞,可能导致资料库数亿笔外泄。
?
?
I 相关 / Other
卡普空 Capcom 算是中国玩家非常熟悉的一家日本游戏公司了。不管是《怪物猎人》、《逆转裁判》还是《街头霸
新年伊始 ABC KIDS携手中国儿基会“温暖中国行”走进甘肃
猴年伊始,浓郁的年味犹存,对于天祝县的孩子们来说,开心的事情接连到来。元宵节以来,ABC KIDS携
当我们在中国的互联网行业提到“信息无障碍”,获得的反馈大多两种:一种是不知此为何物,另一种是仅将此理
第四届“中国十大童装品牌”名单揭晓 水孩儿童装连续三年获此殊荣
2月26日,由中国服装协会主办的第四届“中国十大童装品牌”评选活动在北京举行,水孩儿作
2月初,大娘水饺创始人吴国强的一封《致全体大娘人的公开信》在网上流传,暴露出创始人吴国强与投资方 CVC