作者wayren (wayren)
看板Database
标题Fw: [问题] 新闻-骇客界林志炫 盗改1.2万笔个资
时间Mon May 6 21:25:58 2013
※ [本文转录自 Web_Design 看板 #1HXmVv6Z ]
作者: dalconan (寒江雪) 看板: Web_Design
标题: [问题] 新闻-骇客界林志炫 盗改1.2万笔个资
时间: Mon May 6 09:31:34 2013
http://www.libertytimes.com.tw/2013/new/may/6/today-so11.htm
〔记者姚岳宏/台北报导〕国内首屈一指的古典音乐网站muzik-online日前遭骇客入侵,
1万2千余笔会员资料全被窜改,整个网站大乱,警方追查发现,原来是北部某国立大学休
学研究生施孟甫,为证明自己突破网路资安的能力,才挑上有资安达人坐镇的该网站,进
行了这场「骇客任务」。
据了解,25岁骇客施孟甫曾就读资工研究所,无前科,目前休学中,白天在家里开设的印
刷厂工作,晚上就以自己的专业,替别人写手机App程式,警方说他长相斯文,有点像知
名歌手林志炫,恰巧两人生活背景也接近 (林志炫白天也在印刷厂工作,晚上当歌手)
,但施被逮後,不认为自己触法,表示「我又没有把这些资料拿来做坏事!」
入侵muzik-online
至於他针对的资安达人「KEN」,据说是业界颇负盛名的资安高手,其所管理的网站号称
「无人可入侵」;警方认为,施某挑上该网站,应是为了与其「较劲」。
警方调查,知名古典音乐网站muzik-online今年3月间发现有骇客入侵会员资料库,消除
全部会员姓名;一般来说,骇客与资安达人的网页较劲很常见,有时角色还会互换,几乎
都不会向警方报案,可能是施某此举已严重影响该公司利益,又或者无法弥补,才向警方
报案。
资料隐码攻击 突破防火墙
刑事局侦九队与科技研析组合组专案小组比对分析,得知骇客利用SQL injection(资料
隐码攻击)手法,对该网站进行攻击,取得权限而更改资料。
所谓SQL injection(资料隐码攻击),是指在SQL指令之中,嵌入一个恶意程式码,以取
得资料库系统的控制权,可轻易通过防火墙和身分验证机制,进而控制并更改资料库。
警方仔细分析入侵手法与IP位置,上周循线前往施某位於北市内湖家中,查扣涉案苹果笔
电,施承认犯行,并说国内许多网站普遍存在这种资安漏洞,他只是为了证明自己能力。
警讯後依妨害电脑使用罪嫌将他移送士林地检署侦办。
===================
我想问的是,SQL injection不是一般都会防吗?(检查输入字串、伺服器做检查等技巧)
尤其这个网站又有资安人员负责,还是说就算在程式码和伺服器端检查,
还是有可以绕过检查的手段?如果有的话,那要怎麽防呀?
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.161.138.165
1F:→ tyf99:这种网页都是外包的,SQL injection 也不需要多高段的技术 05/06 11:21
2F:→ dalconan:就是因为不是高深技术...我才会想问 05/06 11:23
3F:→ tyf99:尤其很多网站都用预设值,还开着 error report 05/06 11:24
4F:→ dalconan:有资安人员的网站...居然没有防SQL injection 05/06 11:24
5F:→ tyf99:sony 那麽大的公司,还不是照样中 SQL injection 05/06 11:25
6F:→ tyf99:通常网管不会去 trace 那些外包的网页,那是验收组的责任 05/06 11:28
7F:→ f1234518456:资安人员又不会去看外包的程式码 XDD 05/06 11:58
8F:推 alpe:这篇文章有错喔. ken 不是干资安的 05/06 14:12
10F:推 wayren:借转DataBase版 05/06 21:25
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: wayren (42.71.167.191), 时间: 05/06/2013 21:25:58
11F:→ wayren:外包网页 web.config中就会有登入资料库的详细资料 只要没 05/06 21:36
12F:→ wayren:有处理这一部分 隐码攻击(使用html) 似乎是满常见的 05/06 21:38