http://www.libertytimes.com.tw/2013/new/may/6/today-so11.htm 〔记者姚岳宏／台北报导〕国内首屈一指的古典音乐网站muzik-online日前遭骇客入侵， 1万2千余笔会员资料全被窜改，整个网站大乱，警方追查发现，原来是北部某国立大学休 学研究生施孟甫，为证明自己突破网路资安的能力，才挑上有资安达人坐镇的该网站，进 行了这场「骇客任务」。 据了解，25岁骇客施孟甫曾就读资工研究所，无前科，目前休学中，白天在家里开设的印 刷厂工作，晚上就以自己的专业，替别人写手机App程式，警方说他长相斯文，有点像知 名歌手林志炫，恰巧两人生活背景也接近 （林志炫白天也在印刷厂工作，晚上当歌手） ，但施被逮後，不认为自己触法，表示「我又没有把这些资料拿来做坏事！」 入侵muzik-online 至於他针对的资安达人「KEN」，据说是业界颇负盛名的资安高手，其所管理的网站号称 「无人可入侵」；警方认为，施某挑上该网站，应是为了与其「较劲」。 警方调查，知名古典音乐网站muzik-online今年3月间发现有骇客入侵会员资料库，消除 全部会员姓名；一般来说，骇客与资安达人的网页较劲很常见，有时角色还会互换，几乎 都不会向警方报案，可能是施某此举已严重影响该公司利益，又或者无法弥补，才向警方 报案。 资料隐码攻击 突破防火墙 刑事局侦九队与科技研析组合组专案小组比对分析，得知骇客利用SQL injection（资料 隐码攻击）手法，对该网站进行攻击，取得权限而更改资料。 所谓SQL injection（资料隐码攻击），是指在SQL指令之中，嵌入一个恶意程式码，以取 得资料库系统的控制权，可轻易通过防火墙和身分验证机制，进而控制并更改资料库。 警方仔细分析入侵手法与IP位置，上周循线前往施某位於北市内湖家中，查扣涉案苹果笔 电，施承认犯行，并说国内许多网站普遍存在这种资安漏洞，他只是为了证明自己能力。 警讯後依妨害电脑使用罪嫌将他移送士林地检署侦办。 =================== 我想问的是，SQL injection不是一般都会防吗？(检查输入字串、伺服器做检查等技巧) 尤其这个网站又有资安人员负责，还是说就算在程式码和伺服器端检查， 还是有可以绕过检查的手段？如果有的话，那要怎麽防呀？ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.161.138.165