【閒聊】Pczone擋的了"資料隱碼攻擊法"嗎?

總感覺很多網站都被凌虐過...或是偷取e-mail資料亂發廣告信 :eek:

[url]http://tw.news.yahoo.com/2002/04/23/society/ctnews/3196002.html[/url]

過去，大多數駭客僅能入侵「網路伺服器」（Ｗｅｔ Ｓｅｒｖｅｒ），竄改網站網頁內容，例如貼個圖惡作劇一下，然而，利用「資料隱碼」（ＳＱＬ Ｉｎｊｅｃｔｉｏｎ）攻擊手法，就能進一步入侵「資料庫伺服器」（Ｄａｔａｂａｓｅ Ｓｅｒｖｅｒ），輕易取得個人資料、密碼等機密資訊，嚴重威脅金融體系。

　　「資料隱碼」攻擊法並非植入電腦病毒，而是利用國內官方網站與電子商務網站存在的漏洞，讓「網站主機主動攻擊自己的資料庫」，其原理是利用正常查詢網站資料時，將攻擊資料庫的指令夾藏於網站查詢命令中，攻擊者即可穿透防火牆，繞過身分認證機制，取得資料庫使用權限，進而竊取資料或竄改、破壞資料庫。

　　要特別留意的是，駭客利用「資料隱碼」攻擊法入侵資料庫伺服器後，還可「順便」開個「後門」，植入「木馬程式」，日後上網時，即可直接「走後門」，利用「木馬程式」竊取、更改資料庫相關資訊。

　　「資料隱碼」攻擊方式可使用在Ａｐａｃｈｅ、ＩＩＳ、Ｄｏｍｉｎｏ、Ｎｅｔｓｃａｐｅ的網站系統，透過ＡＰＳ、ＰＨＰ與ＪＳＰ等程式碼，攻擊破壞各種ＳＱＬ資料庫，包括ＭＳ－ＳＱＬ、ＭyＳＱＬ、Ｏｒａｃｌｅ、Ｓｙｂａｓｅ與ＤＢ２等，因此稱作「資料隱碼」（ＳＱＬ Ｉｎｊｅｃｔｉｏｎ）攻擊手法。

　　由於國內九成以上網站皆使用ＳＱＬ資料庫系統，因此，「資料隱碼」攻擊方式存在極大的「發展空間」，經警方測試，研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。

不曉得耶！:confused:

資料隱碼攻擊法,應該是只 unicode漏洞之類的吧

看來現在用什麼系統都不安全了....

[QUOTE][i]最初由 ahome 發表[/i]
[B]看來現在用什麼系統都不安全了.... [/B][/QUOTE]

任何系統都確定 100% 安全的話 , 很多 IT 產業都會沒生意了

這邊資料是否會被 Hack ? who knows ?

只能各種 Server 軟體版本換勤一點吧

到底什麼叫做"資料隱碼"
看起來是乎很恐怖
但是找遍了各種網路安全網站都沒有相關資料
知道的人方便跟我說各"資料隱碼"的英文全名嗎??

SQL Injection

謝謝你囉

這裡有一些相關的說明,有架站的人可以看看,順便試試看自己的網站安不安全
[url]http://www.sqlsecurity.com/faq-inj.asp[/url]

[QUOTE][i]最初由 oldtu 發表[/i]
[B]到底什麼叫做"資料隱碼"
看起來是乎很恐怖
但是找遍了各種網路安全網站都沒有相關資料
知道的人方便跟我說各"資料隱碼"的英文全名嗎?? [/B][/QUOTE]

這個你只要知道 ASP 如何跟 SQL 要資料...大概就可以自行解決了...
只要在 ASP 原始碼上做一些過瀘就可以了....
這個問題主要是程式撰寫不嚴謹...加上 M$ 一貫的程式開發工具的鬆散架構才造成的...

其實這個問題很早之前就有了,它並不是"攻擊"而是正常的操作功能所以防火牆擋不下來是正常的.
其實電視常常誇大其詞......說的太嚴重還出現新名詞勒@@

所以呢.......用 ms 東東要常常去補漏才不會被入侵唷~


[轉貼Hackland 地下電子報]
其實單純以「資料隱碼」原文「SQL Injection 」來看，駭客是把「執行程式碼」放入到 SQL 查詢語法內，使得伺服器資料外洩！但是我們看看不管是「資料隱碼」或「SQL Injection 」它的想法基礎原理，都是利用程式設計者沒有做好「資料輸入」的安檢措施，使得應該是死的「資料」可以變成活的「程式」來執行！
它其實只是利用資料庫查詢程式撰寫的漏洞，讓你可以把「資料庫程式碼」當作一般資料丟給伺服器處理，使得伺服器錯把這些駭客丟來的「資料庫程式碼」偽裝資料，當成正常的資料庫程式來執行，藉而達到入侵的目的。

印象中應該是在程式碼中如果是這樣的寫法: ExecSQL(" select * from table where id='$a' "); 時,
我在input 欄位中輸入的資料故意讓 $a 變數變成 ' or [sql 語法] ' , 讓因為沒去檢查引號等變數中的漏洞, 造成
非法的去操作資料庫內容............... 在HTML 語法中, 像是聊天室, 寫的人不小心沒有過濾輸入內容,
也會造成同樣效果............
舉例來說，假如一個資料庫程式要做驗證密碼的工作，但是因為沒有作好「資料輸入」的查核，使得駭客可以夾帶 SQL 語法到資料內闖關：
SELECT webexplode(object,?::html),req_level FROM wbpages WHERE name='page' AND path='/' AND req_level <= 100
這就是「資料隱碼」攻擊