中央社新聞小百科:SQL Injection 資訊隱碼
【大紀元1月19日報導】(中央社記者孫承武台北十九日電)刑事局偵九隊今天偵破一起大學生充當「隱碼駭客」非法入侵網站案。刑事局資訊室指出,「 SQL Injection 」俗稱「資訊隱 碼」攻擊,是一種資料庫查詢植入攻擊,多半是利用網頁程式設計者忽略檢查使用者輸入內容所造成的安全瑕疵。
對於這類駭客攻擊手法,資訊室警官分析,有心者可趁填寫資料或是查詢資料的同時,在空白欄位上夾帶惡意的SQL查詢指令,以進行非法、未授權的資料查詢與修改動作。
但值得注意的是,SQL Injection 既非資料庫系統本身的漏洞,更非任何作業系統或是網站伺服器本身的漏洞。簡言之,這是網頁程式設計人員在撰寫網頁程式,忽略加入「 Input Validation 」輸入值正確性檢查的功能,以及未做好資料庫權限控管。
結果造成入侵者得以夾帶惡意指令闖關,甚至略過防火牆與身分認證等層層安全關卡的一種「程式漏洞」,直接「登堂入室」竊走資料庫系統內的客戶交易資料、信用卡資料、甚至是盜轉帳等非法行為。
相關文章