http://www.libertytimes.com.tw/2013/new/may/6/today-so11.htm 〔記者姚岳宏／台北報導〕國內首屈一指的古典音樂網站muzik-online日前遭駭客入侵， 1萬2千餘筆會員資料全被竄改，整個網站大亂，警方追查發現，原來是北部某國立大學休 學研究生施孟甫，為證明自己突破網路資安的能力，才挑上有資安達人坐鎮的該網站，進 行了這場「駭客任務」。 據了解，25歲駭客施孟甫曾就讀資工研究所，無前科，目前休學中，白天在家裡開設的印 刷廠工作，晚上就以自己的專業，替別人寫手機App程式，警方說他長相斯文，有點像知 名歌手林志炫，恰巧兩人生活背景也接近 （林志炫白天也在印刷廠工作，晚上當歌手） ，但施被逮後，不認為自己觸法，表示「我又沒有把這些資料拿來做壞事！」 入侵muzik-online 至於他針對的資安達人「KEN」，據說是業界頗負盛名的資安高手，其所管理的網站號稱 「無人可入侵」；警方認為，施某挑上該網站，應是為了與其「較勁」。 警方調查，知名古典音樂網站muzik-online今年3月間發現有駭客入侵會員資料庫，消除 全部會員姓名；一般來說，駭客與資安達人的網頁較勁很常見，有時角色還會互換，幾乎 都不會向警方報案，可能是施某此舉已嚴重影響該公司利益，又或者無法彌補，才向警方 報案。 資料隱碼攻擊 突破防火牆 刑事局偵九隊與科技研析組合組專案小組比對分析，得知駭客利用SQL injection（資料 隱碼攻擊）手法，對該網站進行攻擊，取得權限而更改資料。 所謂SQL injection（資料隱碼攻擊），是指在SQL指令之中，嵌入一個惡意程式碼，以取 得資料庫系統的控制權，可輕易通過防火牆和身分驗證機制，進而控制並更改資料庫。 警方仔細分析入侵手法與IP位置，上週循線前往施某位於北市內湖家中，查扣涉案蘋果筆 電，施承認犯行，並說國內許多網站普遍存在這種資安漏洞，他只是為了證明自己能力。 警訊後依妨害電腦使用罪嫌將他移送士林地檢署偵辦。 =================== 我想問的是，SQL injection不是一般都會防嗎？(檢查輸入字串、伺服器做檢查等技巧) 尤其這個網站又有資安人員負責，還是說就算在程式碼和伺服器端檢查， 還是有可以繞過檢查的手段？如果有的話，那要怎麼防呀？ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.161.138.165