網站設計,網頁設計,魁亨科技

Mass SQL Injectiong手法多變

對於魁亨科技專案,魁亨科技專案人員不斷注意的目前的攻擊手法即變化,希望將每個專案都製作的更完美及安全.

以下為新聞全文:

5月份駭客利用Mass SQL Injection手法，以機器人程式發動大量攻擊，不僅攻陷有SQL漏洞的網站伺服器，近期又再利用Flash播放器的漏洞，發動第二波針對使用者電腦的攻擊。修正源碼和Web應用程式防火牆，是主要應變之道。

在5月中，臺灣有許多網站遭受了爆量的Mass SQL Injection攻擊，初步估計有超過10萬臺電腦受害。在短短不到1周的時間，同樣一批駭客，又利用Adobe Flash播放器的漏洞，再度發動攻擊。

資安專家表示，從這幾波駭客的攻擊手法可以發現，這一批駭客，其實是在測試整個Mass SQL Injection攻擊的效率與成效。駭客的目的其實是要找到好用的攻擊手法，在更短的時間內控制更多電腦，進而竊取電腦的資料。

以機器人程式發動大量SQL Injection攻擊
4月底，歐美地區就發現大量的Mass SQL Injection攻擊手法。5月中，資安公司阿碼科技的研究人員，從安裝在企業端的網路應用程式防火牆（WAF），發現這種攻擊已經波及臺灣，他們進一步分析發現，單就5月16日一天，至少就有1萬個網站被這個攻擊手法植入惡意程式，而被植入惡意連結的網頁則高達10萬個。

駭客的攻擊手法，是先利用Google搜尋有SQL漏洞的網站伺服器，再以SQL Injection手法入侵。阿碼科技資安顧問丁性佃表示，Google搜尋引擎會禁止同一個IP來源在短時間內大量搜尋，一旦有類似行為，Google 搜尋引擎就會要求使用者輸入圖形驗證碼（CAPTCHAs）或禁止搜尋。丁性佃說，駭客可以大量利用Google搜尋，可能是事先掌控了大量的傀儡電腦，做到以自動化程式大量搜尋有SQL 漏洞的網站，並發動攻擊。

駭客用Flash漏洞測試攻擊手法精準度
第一波的Mass SQL Injection攻擊主要是針對網站伺服器，攻擊端的IP來源出自中國大陸。敦陽科技資深資安技術顧問楊伯瀚表示，在第一波攻擊中被植入惡意程式的網站伺服器，被駭客利用來發動第二波攻擊，駭客鎖定一般使用者電腦Flash播放器的漏洞，只要瀏覽這些受駭網站的電腦，沒有修補Flash程式的漏洞，那麼惡意程式就有可能入侵成功，進而控制電腦。

數聯資安研發處副總經理張裕敏表示，「這一波Adobe Flash的攻擊中，在5月30日凌晨零點零分就截止，是一個有時效性的攻擊手法，」

張裕敏推測，目前看來駭客是在測試攻擊手法的成效與精準度。當駭客成功驗證了以Google Hacking搭配Mass SQL Injection手法，可以在短時間內攻陷大量網站伺服器，進而控制更多瀏覽網站的電腦之後，也就意味著，這批駭客對受害電腦的掌握度已經到「如入無人之境」的地步。

接下來，駭客就可以在受害電腦大量安裝遙控的機器人程式，除了可以利用這些傀儡電腦發動DDoS攻擊（分散式阻斷式攻擊），更可以趁機竊取、販售電腦裏的個人與企業機密資料資料圖利。

雙管齊下解決SQL Injection老問題
臺灣企業對於SQL Injection攻擊手法，經常處於束手無策的狀態，楊伯瀚表示，多數人都抱持「以拖待變」的心態，只要個人或公司沒受害、沒見報就好。這樣的狀況不改變，SQL Injection的問題就會繼續存在。

面對SQL Injection攻擊的惡性循環，敦陽科技技術顧問劉俊雄認為，一定得多管齊下才有機會根絕，他說，正本清源之道是修改原始碼，包括源碼檢測（Code Review）、網站掃描（Web Scan）以及滲透測試（Penetration Testing）等方式。

若無法即及修改原始碼，則可利用Web應用程式防火牆（WAF）作為防禦、應急之用。文⊙黃彥棻

降低SQL Injection攻擊的3大關鍵
資深的資安研究員數聯資安研發處副總經理張裕敏表示，臺灣企業使用微軟.NET平臺比例很高，若能掌握ASP .NET防禦SQL Injection的3大關鍵，將有助於降低這類攻擊。

iThome問：如何有效防堵SQL Injection的攻擊？
張裕敏答：微軟針對ASP .NET平臺推出許多安全文件，教導開發人員做各種安全參數設定。目前可以從程式開發、與資料庫程式的連結以及IIS 5.0伺服器的設定等3方面著手進行。

問：開發ASP .NET該注意哪些參數的設定？
答：在ASP .NET平臺，微軟也提供各種Web UI元件供開發人員選擇。透過設定這些Web UI元件，能夠幫開發人員在進行各種特殊符號過濾、正規化表示式（Regular Expression），甚至是黑、白名單等設定，都有一些參數可以勾選，避免以前做ASP開發時，所有參數功能都必須自己寫，而常常會出現掛一漏萬的現象。

問：程式與後端資料庫的連結上，需要注意什麼？
答：SQL Injection主要發生原因在於，前端系統丟出的SQL查詢語法不乾淨或有錯誤，導致後端伺服器做了不當的反應。許多開發人員以往習慣直接透過SQL 語法去查詢後端資料庫連結。比較好的作法則是，讓前端SQL語法或指令，透過參數化程序的呼叫方式，存取後端的資料庫。一旦前端SQL語法內含惡意符號時，後端資料庫就不會做任何特殊反應。

問：網站伺服器需要注意什麼呢？
答：許多ASP .NET的企業用戶，也都採用微軟IIS 5.0網路伺服器。在IIS伺服器端的設定，主要特別針對Web Config設定檔做參數設定。這樣的參數設定從Cookie、View_State_到認證等，前後超過100多項設定。這些參數設得好，就可以提高 Web Server的安全性。

問：什麼是比較省力的IIS伺服器設定方式？
答：這個省力的設定，主要是由中國大陸多人共同開發出來的「通用注入過濾器」。這是一個基於IIS系統的模組，核心由C++撰寫。只要將該程式安裝在IIS伺服器上，就可以保護整個系統檔案，預防被人利用ASP程式漏洞，進而被注入惡意語法，也可以防止資料庫被下載。

目前中國大陸很多網站，都使用這樣的通用注入過濾器，以降低SQL Injection的受害程度。文⊙黃彥棻

Mass SQL Injection 3階段攻擊方式

第1階段以Google Hacking找尋有SQL漏洞的網站伺服器，植入惡意程式連結
駭客透過自動化機器人程式，利用Google搜尋引擎找出有SQL漏洞的網站伺服器，大量植入惡意程式或惡意連結。臺灣估計至少有超過10萬臺電腦受害。

第2階段藉由被受駭的網站伺服器，對於瀏覽網站的電腦發動Adobe Flash漏洞攻擊

駭客看準一般電腦使用者不會更新Adobe Flash的漏洞，藉由第一波受駭的網站，去感染更多連網的電腦。如果電腦的Flash漏洞沒有修補，就會成為被駭客掌控的傀儡電腦。

第3階段下一步：大量傀儡網路與資料外洩

不論是大量SQL Injection攻擊，或者是利用Adobe Flash漏洞發動攻擊，都只是駭客在測試攻擊成效的前哨站而已。當駭客確認攻擊手法能有效達成目標後，就能夠就可發動DDoS（分散式阻斷式攻擊）及竊取販售資料。文⊙黃彥棻
轉載:資安之眼

回列表頁

::: ::: HOME|NEWS |SITEMAP|RSS訂閱|ATOM訂閱 關於我們案例分享建置團隊服務項目專案流程聯絡我們

:::

:::

HOME|NEWS |SITEMAP|RSS訂閱|ATOM訂閱

關於我們案例分享建置團隊服務項目專案流程聯絡我們