記者/張彥清
國際駭客使用最新的「資料隱碼」(SQL
Injection)攻擊技術,將攻擊指令夾藏在網站查詢命令,使被害人網站的主機自動攻擊被害人的資料庫,經過刑事局測試,台灣八成以上的政府、電子商務網站安全都面臨嚴重威脅。
刑事局與新波科技公司日前聯手宣導預防網路犯罪,因為「資料隱碼」(SQL
Injection)的攻擊技術,比以前的木馬程式更難防制。刑事局呼籲台灣各大網站資料庫的維護人員,立即向刑事警察局資訊室或新波科技公司要求協助。
刑事局警察局資訊室指出,台灣政府網站與電子商務網站目前存在一些漏洞,當網路管理人員發現網站的資料庫遭受攻擊時,從資料庫存取記錄中發現,攻擊資料庫的電腦竟然是自己的網站主機。大部分的網路管理人員懷疑是網站主機被安裝木馬後門,事實上,這是遭「資料庫隱藏程式碼」攻擊,簡稱「資料隱碼(SQL
Injection)」,以往駭客頂多篡改網站網頁內容,「資料隱碼(SQL Injection)」則進一步威脅網站內部資料庫的內容安全。
刑事局表示,「資料隱碼(SQL
Injection)」攻擊原理是駭客利用正常查詢網站資料時,將攻擊資料庫的指令夾藏於網站的查詢命令中,駭客可以穿透防火牆,並繞過身分認證機制,取得資料庫權限,入侵資料系統後,進而竊取資料或破壞資料庫。
「資料隱碼(SQL Injection)」可以使用 Apache、IIS、Domino、Netscape 的網站系統,透過 ASP、PHP、JSP
的程式碼,攻擊破壞各種SQL資料庫,包括 MS-SQL、MySQL、Oracle、Sybase、DB2
等,台灣九成以上的網站資料庫系統都有極大可能被「資料隱碼(SQL Injection)」攻擊,七成以上可能遭輕易攻擊入侵。