精誠公司發佈SQL Injection資料庫查詢植入攻擊（資料隱碼）安全通報【新聞】

**lan0825** · 2002-04-24, 09:22 PM

http://www.sysware.com.tw/news/press/020424.shtml

精誠公司發佈SQL Injection資料庫查詢植入攻擊（資料隱碼）安全通報

精誠公司「資訊安全監控中心」針對刑事警察局於日前公佈的「SQL Injection」俗稱「資料隱碼」攻擊，同步對國內廣大用戶發出警訊，特別呼籲使用SQL關聯式資料庫連結的網頁程式，應儘速採用業界唯一可自動檢測網站應用程式安全性的「FoundScan 弱點評估服務」進行漏洞檢查。

精誠公司資訊安全顧問林宗瀛指出：SQL Injection (正確解釋應為"資料庫查詢植入攻擊") 多半是利用網頁程式設計者忽略檢查使用者輸入內容所造成的安全瑕疵，加上目前絕大多數政府與企業電子商務網站都整合了SQL資料庫系統，提供使用者上網時填寫個人資料、進行資料查詢或金融交易等功能。

有心者可趁填寫資料或是查詢資料的同時，在空白欄位上夾帶惡意的SQL查詢指令，如"select"、 "create"、"update"、"delete"、"insert"、"drop"、 "--", " ' "，以進行非法、未授權的資料查詢與修改動作。值得注意的是，SQL Injection既非資料庫系統本身的漏洞，更非任何作業系統或是網站伺服器本身的漏洞。簡單的來說，它是網頁程式設計人員在撰寫網頁程式、如ASP、PHP、JSP、CGI等網頁程式時，忽略加入「Input Validation」輸入值正確性檢查的功能以及未做好資料庫權限控管，進而造成駭客得以夾帶惡意指令闖關，甚至略過防火牆與身分認證的層層安全關卡，直接登堂入室竊走資料庫系統內的客戶交易資料、信用卡資料、甚至是盜轉帳等非法行為。根本解決之道，唯有程式設計者在設計網頁程式時，多注重安全的考量才是。

由於駭客是以一般合法使用者的身份登入瀏覽網站，因此防火牆或是入侵偵測系統更是難以發現SQL Injection之類的攻擊行為，尤其是採用SSL加密後的網頁，入侵偵測系統更是難以發現連線內容是否夾帶破壞或是攻擊的非法指令。而坊間普遍使用的弱點評估工具(Scanner)，由於僅侷限於掃描作業系統與網路層面的漏洞，並無法檢查出Web Application網頁程式方面的漏洞。

有鑑於此，精誠公司資訊安全監控中心特別呼籲，凡使用ASP、JSP、PHP、CGI、Perl與Oracle、Microsoft SQL、MySQL、Postgres、DB2、Sybase等SQL關聯式資料庫連結的網頁程式，都應該特別加以檢查是否已加入「Input Validation」輸入值檢查機制，以防止駭客輸入過長的字串或夾帶惡意攻擊指令與字元。

值得一提的是，精誠公司提供目前業界唯一可自動檢測Web Application網站應用程式安全性的FoundScan弱點評估服務。對於被發現的漏洞，FoundScan提供詳盡的說明與修補建議，並且明確告知使用者有安全顧慮的網頁程式段落為何，以利使用者快速找出SQL Injection或其他與網站應用程式有關的漏洞。針對本次爆發的SQL Injection安全問題，FoundScan已可針對網站進行下列安全檢測：

「WebSite Content Inventory 網站目錄檔案蒐集與檢查」
「Web Authentication Analysis 網站使用者身分認證安全檢查」
「Smart Guesswork 網站隱藏檔案暴露危機檢查」
「SQL Query Poisoning 資料庫查詢正確性檢查」
「Error or Eexception Handling 資料庫輸入錯誤或例外值時的處理安全性」
「Source Code Disclosure 網站程式原始碼暴露問題」

精誠公司提出下列「補救建議」，協助使用者強化網頁程式，避免遭受SQL Injection資料庫查詢植入攻擊：

針對特殊的SQL關聯式資料庫查詢參數，如 "--", " ' "等加以過濾或拒絕。
對於「Input Validation 輸入值檢查」部分，務必嚴加分辨與過濾"select"、"create"、"update"、"delete"、"insert"、"drop"等SQL關聯式資料庫查詢指令，防止駭客偽裝成合法使用者，在輸入過程中夾帶上述惡意指令。
對於特殊的輸入欄位，如使用者帳號或密碼的輸入，應設定網頁程式只能接受"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"英文大小寫與阿拉伯數字的輸入，並設定拒絕接受其他符號的輸入，以防止駭客在輸入值中夾帶"--", " ' "等符號。
在網頁程式中加入"Error Handling 錯誤檢查功能"，以免駭客探知網頁程式是否有能力處理資料輸入時的錯誤。
設定資料庫系統的讀取權限，僅允許個別使用者調閱或修改自己的資料。
設定網站伺服器與資料庫伺服器的存取記錄功能，以利安全事件發生時，可供追查與佐證之用。
您如有更進一步的資訊安全方面問題，或是對本次SQL Injection漏洞有不了解的地方，請洽精誠公司防駭熱線(02)2368-6171 分機6995（來救就我！）。