SQL Injection(資料隱碼)一直是令人頭痛的問題,這個利用SQL指令語法注入隱藏程式碼的攻擊手法,在2001年就開始出現,但今日SQL Injection仍是網站的一大威脅。
即使教導防禦SQL Injection的資訊唾手可得,但許多網站至今仍存在SQL Injection漏洞。在上個禮拜發生的一波大量Mass SQL Injection攻擊之中,臺灣有許多網站就遭受攻擊,被植入惡意程式的連結。
這種短時間內造成大量攻擊的手法,可說是SQL Injection攻擊的進化版,改變了以往我們對於這類攻擊的認知。
資安專家的追蹤分析發現,駭客是先利用自動程式,以Google搜尋引擎,快速地找尋有SQL Injection漏洞的網站伺服器,一旦找到攻擊標的,就利用SQL指令語法,把惡意連結寫入資料庫欄位中,這個連結則指向惡意網站的Java Script。
駭客直接在資料庫欄位中植入惡意連結的作法,是比起以往在網頁中植入惡意連結的方法,來得更快更有效率;以前的攻擊效率不夠高,只能在特定的網頁中植入惡意連結,像是網站的首頁,但現在直接把惡意連結寫入資料庫欄位中,幾乎可說受害網站中的多數網頁都會含有惡意連結。
在這次Mass SQL Injection攻擊中,駭客第一波攻擊網站伺服器的目的,是要先建立一批毒窟網站,藉由這些網站去感染更多的電腦,為下一波的攻擊布椿。因為個人電腦一旦瀏覽了這些受害網站的網頁,隱藏在網頁中的Script就會在背地裏連結惡意網站的Java Script,執行自動下載且安裝能夠控制電腦的惡意程式,像是木馬程式、後門程式之類。
然而,這些惡意程式要怎麼鑽進電腦裏呢?駭客的第二波攻擊所利用的手法,也是以往較為罕見的。以前駭客常利用作業系統的漏洞來攻擊,但近來像是Windows作業系統的漏洞修補,都已經透過Windows Update做到更為即時的修補,駭客要鑽作業系統漏洞,成功的機會越來越低,因而駭客這次瞄準絕大多數電腦都會安裝的Adobe Flash播放器的漏洞。這麼做就是看準大家忽略一般應用程式的漏洞修補,以及這些應用程式目前仍缺乏像Windows Update這樣即時的程式更新機制。
一旦個人電腦被駭客利用Flash漏洞而入侵成功,成為駭客的囊中物,就是駭客日後可以用來發動其他攻擊的傀儡電腦之一。駭客可以利用這些傀儡電腦來謀利,像是竊取電腦裏的個人資料與機密資料,或是利用這些電腦來攻擊特定對象,造成大規模的DDoS攻擊,以癱瘓特定的網站或網路。
從這次的攻擊事件來看,SQL Injection已經發展為自動化的機器人攻擊模式了,然而目前仍只是看到雛型,資安專家預期下一波攻擊的出現後,駭客的自動化攻擊機制就會更為明確。
對於SQL Injection機器人的來襲,企業需要注意的是,SQL Injection的攻擊已經不再是以往我們所認知的手工攻擊手法,在自動化的SQL Injection機器人攻擊之下,不是只有知名網站才會被攻擊,而一旦被入侵成功,後續造成的衝擊也會比以往更大。該怎麼有效防禦SQL Injection攻擊呢?就如數聯資安研發處副總經理張裕敏所言,以ASP.NET平臺的防禦來說,微軟早就公布了很完整的作法,只是大家不太願意仔細研讀近9百多頁的手冊,請見本期的新聞深度報導。
專欄作者
熱門新聞
2024-11-29
2024-12-02
2024-11-30
2024-11-29
2024-11-29