總感覺很多網站都被凌虐過...或是偷取e-mail資料亂發廣告信
http://tw.news.yahoo.com/2002/04/23/...s/3196002.html
過去,大多數駭客僅能入侵「網路伺服器」(Wet Server),竄改網站網頁內容,例如貼個圖惡作劇一下,然而,利用「資料隱碼」(SQL Injection)攻擊手法,就能進一步入侵「資料庫伺服器」(Database Server),輕易取得個人資料、密碼等機密資訊,嚴重威脅金融體系。
「資料隱碼」攻擊法並非植入電腦病毒,而是利用國內官方網站與電子商務網站存在的漏洞,讓「網站主機主動攻擊自己的資料庫」,其原理是利用正常查詢網站資料時,將攻擊資料庫的指令夾藏於網站查詢命令中,攻擊者即可穿透防火牆,繞過身分認證機制,取得資料庫使用權限,進而竊取資料或竄改、破壞資料庫。
要特別留意的是,駭客利用「資料隱碼」攻擊法入侵資料庫伺服器後,還可「順便」開個「後門」,植入「木馬程式」,日後上網時,即可直接「走後門」,利用「木馬程式」竊取、更改資料庫相關資訊。
「資料隱碼」攻擊方式可使用在Apache、IIS、Domino、Netscape的網站系統,透過APS、PHP與JSP等程式碼,攻擊破壞各種SQL資料庫,包括MS-SQL、MySQL、Oracle、Sybase與DB2等,因此稱作「資料隱碼」(SQL Injection)攻擊手法。
由於國內九成以上網站皆使用SQL資料庫系統,因此,「資料隱碼」攻擊方式存在極大的「發展空間」,經警方測試,研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。
書籤