【閒聊】Pczone擋的了"資料隱碼攻擊法"嗎?

  • 【閒聊】Pczone擋的了"資料隱碼攻擊法"嗎?

    • 第 1 頁,共 2 頁 1 2 末頁末頁
    顯示結果從第 1 筆 到 10 筆,共計 11 筆
    1. 2002-04-23, 12:20 PM #1
      ahome
      ahome 目前未上線
      阿紘 ahome 的大頭照
      註冊日期
      2001-01-08
      所在地區
      交換中心無上限頻寬
      討論區文章
      4,896

      【閒聊】Pczone擋的了"資料隱碼攻擊法"嗎?

      總感覺很多網站都被凌虐過...或是偷取e-mail資料亂發廣告信

      http://tw.news.yahoo.com/2002/04/23/...s/3196002.html

      過去,大多數駭客僅能入侵「網路伺服器」(Wet Server),竄改網站網頁內容,例如貼個圖惡作劇一下,然而,利用「資料隱碼」(SQL Injection)攻擊手法,就能進一步入侵「資料庫伺服器」(Database Server),輕易取得個人資料、密碼等機密資訊,嚴重威脅金融體系。

        「資料隱碼」攻擊法並非植入電腦病毒,而是利用國內官方網站與電子商務網站存在的漏洞,讓「網站主機主動攻擊自己的資料庫」,其原理是利用正常查詢網站資料時,將攻擊資料庫的指令夾藏於網站查詢命令中,攻擊者即可穿透防火牆,繞過身分認證機制,取得資料庫使用權限,進而竊取資料或竄改、破壞資料庫。

        要特別留意的是,駭客利用「資料隱碼」攻擊法入侵資料庫伺服器後,還可「順便」開個「後門」,植入「木馬程式」,日後上網時,即可直接「走後門」,利用「木馬程式」竊取、更改資料庫相關資訊。

        「資料隱碼」攻擊方式可使用在Apache、IIS、Domino、Netscape的網站系統,透過APS、PHP與JSP等程式碼,攻擊破壞各種SQL資料庫,包括MS-SQL、MySQL、Oracle、Sybase與DB2等,因此稱作「資料隱碼」(SQL Injection)攻擊手法。

        由於國內九成以上網站皆使用SQL資料庫系統,因此,「資料隱碼」攻擊方式存在極大的「發展空間」,經警方測試,研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。


      人生不一定要追求夢想... 夢想成真的那刻你只是會換來之後更多的失落...
      回覆時引用此文章 回覆時引用此文章
    2. 2002-04-23, 12:51 PM #2
      iss
      iss 目前未上線
      會員 iss 的大頭照
      註冊日期
      2002-03-28
      討論區文章
      290
      不曉得耶!
      回覆時引用此文章 回覆時引用此文章
    3. 2002-04-23, 04:13 PM #3
      purk
      purk 目前未上線
      --帳號停用中-- purk 的大頭照
      註冊日期
      2001-03-08
      討論區文章
      2,917
      資料隱碼攻擊法,應該是只 unicode漏洞之類的吧
      回覆時引用此文章 回覆時引用此文章
    4. 2002-04-23, 04:47 PM #4
      ahome
      ahome 目前未上線
      阿紘 ahome 的大頭照
      註冊日期
      2001-01-08
      所在地區
      交換中心無上限頻寬
      討論區文章
      4,896
      看來現在用什麼系統都不安全了....
      人生不一定要追求夢想... 夢想成真的那刻你只是會換來之後更多的失落...
      回覆時引用此文章 回覆時引用此文章
    5. 2002-04-23, 06:18 PM #5
      阿 土
      阿 土 目前未上線
      校長兼撞鐘 阿 土 的大頭照
      註冊日期
      2000-10-09
      所在地區
      SEEDNET 8M
      討論區文章
      11,817
      最初由 ahome 發表
      看來現在用什麼系統都不安全了....
      任何系統都確定 100% 安全的話 , 很多 IT 產業都會沒生意了

      這邊資料是否會被 Hack ? who knows ?

      只能各種 Server 軟體版本換勤一點吧


      協助架設防毒+擋垃圾信超穩定網站郵件伺服器
      回覆時引用此文章 回覆時引用此文章
    6. 2002-04-23, 06:45 PM #6
      oldtu
      oldtu 目前未上線
      會員 oldtu 的大頭照
      註冊日期
      2001-08-02
      討論區文章
      143
      到底什麼叫做"資料隱碼"
      看起來是乎很恐怖
      但是找遍了各種網路安全網站都沒有相關資料
      知道的人方便跟我說各"資料隱碼"的英文全名嗎??
      回覆時引用此文章 回覆時引用此文章
    7. 2002-04-23, 08:21 PM #7
      lan0825
      lan0825 目前未上線
      Sun
      註冊日期
      2001-11-12
      討論區文章
      109
      SQL Injection
      回覆時引用此文章 回覆時引用此文章
    8. 2002-04-23, 08:42 PM #8
      oldtu
      oldtu 目前未上線
      會員 oldtu 的大頭照
      註冊日期
      2001-08-02
      討論區文章
      143
      謝謝你囉
      回覆時引用此文章 回覆時引用此文章
    9. 2002-04-23, 09:53 PM #9
      trosky
      trosky 目前未上線
      會員 trosky 的大頭照
      註冊日期
      2001-02-26
      討論區文章
      58
      這裡有一些相關的說明,有架站的人可以看看,順便試試看自己的網站安不安全
      http://www.sqlsecurity.com/faq-inj.asp
      回覆時引用此文章 回覆時引用此文章
    10. 2002-04-24, 07:24 AM #10
      iamdc
      iamdc 目前未上線
      會員 iamdc 的大頭照
      註冊日期
      2001-06-27
      討論區文章
      1,171
      最初由 oldtu 發表
      到底什麼叫做"資料隱碼"
      看起來是乎很恐怖
      但是找遍了各種網路安全網站都沒有相關資料
      知道的人方便跟我說各"資料隱碼"的英文全名嗎??
      這個你只要知道 ASP 如何跟 SQL 要資料...大概就可以自行解決了...
      只要在 ASP 原始碼上做一些過瀘就可以了....
      這個問題主要是程式撰寫不嚴謹...加上 M$ 一貫的程式開發工具的鬆散架構才造成的...

      其實這個問題很早之前就有了,它並不是"攻擊"而是正常的操作功能所以防火牆擋不下來是正常的.
      其實電視常常誇大其詞......說的太嚴重還出現新名詞勒@@

      所以呢.......用 ms 東東要常常去補漏才不會被入侵唷~


      [轉貼Hackland 地下電子報]
      其實單純以「資料隱碼」原文「SQL Injection 」來看,駭客是把「執行程式碼」放入到 SQL 查詢語法內,使得伺服器資料外洩!但是我們看看不管是「資料隱碼」或「SQL Injection 」它的想法基礎原理,都是利用程式設計者沒有做好「資料輸入」的安檢措施,使得應該是死的「資料」可以變成活的「程式」來執行!
      它其實只是利用資料庫查詢程式撰寫的漏洞,讓你可以把「資料庫程式碼」當作一般資料丟給伺服器處理,使得伺服器錯把這些駭客丟來的「資料庫程式碼」偽裝資料,當成正常的資料庫程式來執行,藉而達到入侵的目的。

      印象中應該是在程式碼中如果是這樣的寫法: ExecSQL(" select * from table where id='$a' "); 時,
      我在input 欄位中輸入的資料故意讓 $a 變數變成 ' or [sql 語法] ' , 讓因為沒去檢查引號等變數中的漏洞, 造成
      非法的去操作資料庫內容............... 在HTML 語法中, 像是聊天室, 寫的人不小心沒有過濾輸入內容,
      也會造成同樣效果............
      舉例來說,假如一個資料庫程式要做驗證密碼的工作,但是因為沒有作好「資料輸入」的查核,使得駭客可以夾帶 SQL 語法到資料內闖關:
      SELECT webexplode(object,?::html),req_level FROM wbpages WHERE name='page' AND path='/' AND req_level <= 100
      這就是「資料隱碼」攻擊


      回覆時引用此文章 回覆時引用此文章
    « 上一個主題 | 下一個主題 »

    類似的主題

    1. 【閒聊】智邦生活館遭到隱碼攻擊
      作者:yesonline 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 7
      最後發表: 2005-03-29, 04:45 PM
    2. 在 PCZONE 停擺的這段日子, 各位都在做甚麼?
      作者:ehawk 所在討論版:-- 閒 話 家 常 灌 水 版
      回覆: 43
      最後發表: 2004-10-25, 08:14 PM
    3. 【閒聊】資料隱碼--關於資料庫的簡單入侵和無賴破壞...
      作者:ADJ 所在討論版:-- 網 路 技 術 版
      回覆: 2
      最後發表: 2002-05-01, 05:21 AM
    4. 精誠公司發佈SQL Injection資料庫查詢植入攻擊(資料隱碼)安全通報【新聞】
      作者:lan0825 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 2
      最後發表: 2002-04-24, 11:15 PM
    5. 資料隱碼
      作者:陳少奇 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 12
      最後發表: 2002-04-24, 08:49 PM

     

    此網頁沒有從搜尋引擎而來的訪客

    書籤

    發表文章規則

    • 不可以發表新主題
    • 不可以回覆文章
    • 不可以上傳附加檔案
    • 不可以編輯自己的文章
    •  

    討論版規則