• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:386

1.中國漏洞通報平臺烏雲（WooYun）在3月3日，日盛證券網站因為有SQL Injection（隱碼攻擊）的漏洞，導致有數億筆的資料外洩。受託回報的臺灣HITCON Zero Day漏洞通報平臺窗口表示，已在當天下午轉告日盛證券相關漏洞資訊，態度相當正面。
2.SQL Injection可能讓駭客知道資料庫的結構，導致系統管理員Admin帳戶遭到竄改，進而取得系統權限，接著在網頁中加入一些惡意網址、植入惡意程式或者是造成XSS（跨站網站攻擊）漏洞。
編註：預防SQL Injection問題建議參考如下資訊：
(1)要限制存取資料庫系統者的權限，不允許除了系統管理者之外的使用者，有權力新增資料庫物件。
(2)建議採用參數化（ Parameterized）查詢語法，過濾使用者需入的內容，或者使用參數化的查詢方式。
(3)必須加強對使用者輸入資料的檢核與驗證，只接受所需要的參數值，拒絕包含二進位資料、Escape 跳脫字元和注釋字元等一些容易造成攻擊的特殊字元過濾與驗證；或者是強迫使用者使用參數化語句來傳遞使用者輸入的內容。
(4)建議使用者應該盡量使用微軟SQL Server 資料庫伺服器內建的安全參數，像是使用Parameters（參數化）集合，讓使用者輸入的內容視為字元值而非資料庫執行語法，並強制執行資料型別和長度檢查，避免系統執行可疑的語法造成傷害。
(5)在多層次（N-Tier）的應用架構中，使用者所輸入的各種資料，都應該在經過驗證後，才被允許進入到可以信任的資料區域；如果，使用者輸入的資料還沒有通過資料驗證程序時，這些資料都應該在執行資料庫任何動作前被拒絕，並向上一層傳回錯誤資訊。
(6)建議可以使用白箱的程式碼源碼檢測工具，如HP Fortify；或是黑箱的滲透測試及弱點掃描工具來尋找應用系統所隱含的漏洞，自動化弱點掃描工具包括針對主機掃描的免費軟體Nessus，以及可掃瞄OWASP常見弱點的開源軟體w3af。

攻擊手法： SQL injection

參考連結： http://www.ithome.com.tw/news/104363