【新聞】你也可以當駭客「駭」人聽聞 買東西只要一塊錢! 2002/11/26 18:13



贊助商連結


giogio2000
2002-11-26, 06:36 PM
你也可以當駭客「駭」人聽聞 買東西只要一塊錢! 2002/11/26 18:13


 記者王以瑾台北報導

只要將購物網站的原始碼叫出,存回電腦中,再把要購買的商品改為1塊錢,由瀏覽器開啟更改後的結果,接著按下加入購物車,就能以1塊錢買到這個商品;竟能如此輕易地更改網站上的商品售價,你相信嗎?這是真實存在的駭客手法,這個漏洞仍在某些購物網站中,還未被修補。


駭客研習營講師陳彥銘說,上述的情況,都是來自同一家公司的程式,這家公司是專門提供購物網站程式,只要使用這個程式的購物網站,都會有相同的漏洞。

將所有商品改成1塊錢,看起來也沒有技術可言,知道這個漏洞之後,人人都可以當駭客,連工具都不需要,看得大家都躍躍欲試了;不過,駭客可不是那麼好當的,陳彥銘特別提醒,隨便駭人家,當心警察馬上找上門了,這可是要負法律責任的。

除了更改購物網站的標價之外,陳彥銘也示範了如何利用Google找出密碼提示,進而破解使用者的密碼,以及俄國駭客如何利用公司的IP位置及IIS漏洞,放入後門程式後找出企業銀行帳號,進而進行勒索恐嚇的實戰演練。

雖然經由陳彥銘的示範,更加深了網路的不安全感,但陳彥銘反而表示,他並不會擔心在網路上購物會導致機密資料外洩,他本身也常在網站購物,當然,為了保護自己的重要資料,有些原則一定要遵守。

陳彥銘說,增加密碼被破解的困難度是防範駭客的第一步,以密碼來說,字元愈多愈好,最好設到系統接受的上限,可能的話,密碼之中,還要夾雜英文、數字及特殊符號。

此外,重要的資料絕對不要放在網站中,比如說信用卡號碼及相關資料,有些網站會提供下次免輸入的服務,寧可麻煩一點下次再輸入一次,為了避免風險,還是不要存放在網站之中。

密碼提示往往成為密碼破解的線索;有些人怕忘記,會將密碼放在密碼提示之中,這也常常造成密碼被破解的危機。

陳彥銘說,只要利用搜尋引擎進行一些特別資料的搜尋,就能找出線索,再經由這些線索就能破解一些機密的資料;為了保護資料的安全,基本原則就是提高被找出來的困難度,同時不要將重要的資訊放在網路上,增加被駭的危險。

贊助商連結


giogio2000
2002-11-26, 07:41 PM
要是真的用一元買下去
貨真的會來嗎?

logic
2002-11-26, 08:33 PM
不大可能吧
工程師在幹嘛

iamdc
2002-11-28, 04:15 PM
最初由 giogio2000 發表
要是真的用一元買下去
貨真的會來嗎?
貨當然不會來......在出納的時候就會發現了.這只是個表演而已啦!別太認真^^

dou0228
2002-11-30, 05:32 PM
這算是標準的網站設計漏洞, 如果有網站把 price 的 價錢擺在
script variables 裡面, 自然會有 人想惡作劇整一下...:D

不信可去 www.google.com 用 "XXX" 查一下, 還是有不少網站如此..:D

所以為何 Business logic 要擺在 server, 不擺在 client 端就是如此..

giogio2000
2002-11-30, 10:19 PM
其實要改這個一點都不難耶..
光看他這樣說我就知道怎麼改了..