你也可以當駭客「駭」人聽聞 買東西只要一塊錢! 2002/11/26 18:13
記者王以瑾台北報導
只要將購物網站的原始碼叫出,存回電腦中,再把要購買的商品改為1塊錢,由瀏覽器開啟更改後的結果,接著按下加入購物車,就能以1塊錢買到這個商品;竟能如此輕易地更改網站上的商品售價,你相信嗎?這是真實存在的駭客手法,這個漏洞仍在某些購物網站中,還未被修補。
駭客研習營講師陳彥銘說,上述的情況,都是來自同一家公司的程式,這家公司是專門提供購物網站程式,只要使用這個程式的購物網站,都會有相同的漏洞。
將所有商品改成1塊錢,看起來也沒有技術可言,知道這個漏洞之後,人人都可以當駭客,連工具都不需要,看得大家都躍躍欲試了;不過,駭客可不是那麼好當的,陳彥銘特別提醒,隨便駭人家,當心警察馬上找上門了,這可是要負法律責任的。
除了更改購物網站的標價之外,陳彥銘也示範了如何利用Google找出密碼提示,進而破解使用者的密碼,以及俄國駭客如何利用公司的IP位置及IIS漏洞,放入後門程式後找出企業銀行帳號,進而進行勒索恐嚇的實戰演練。
雖然經由陳彥銘的示範,更加深了網路的不安全感,但陳彥銘反而表示,他並不會擔心在網路上購物會導致機密資料外洩,他本身也常在網站購物,當然,為了保護自己的重要資料,有些原則一定要遵守。
陳彥銘說,增加密碼被破解的困難度是防範駭客的第一步,以密碼來說,字元愈多愈好,最好設到系統接受的上限,可能的話,密碼之中,還要夾雜英文、數字及特殊符號。
此外,重要的資料絕對不要放在網站中,比如說信用卡號碼及相關資料,有些網站會提供下次免輸入的服務,寧可麻煩一點下次再輸入一次,為了避免風險,還是不要存放在網站之中。
密碼提示往往成為密碼破解的線索;有些人怕忘記,會將密碼放在密碼提示之中,這也常常造成密碼被破解的危機。
陳彥銘說,只要利用搜尋引擎進行一些特別資料的搜尋,就能找出線索,再經由這些線索就能破解一些機密的資料;為了保護資料的安全,基本原則就是提高被找出來的困難度,同時不要將重要的資訊放在網路上,增加被駭的危險。
 |
回覆時引用此文章
書籤