2015/07/14 sql-injection資料隱碼攻擊

您的網站有了密碼機制, 就保證安全了嗎? 即使是有了密碼的保護, 如果程式有漏洞或安全設定有問題, 還是有隨時被入侵的可能!
試想您的網站如果被人這樣登入, 可能產生什麼結果呢?
 上圖中的密碼(示意)被輸入了很像是指令的文字, 如果您的網站剛好有漏洞, 上述的指令剛好讓原本需要密碼的網站, 可以任意通行無阻, 這是非危險的。

 

上圖的惡意指令會如何發生作用?

我們在網頁中填的資料, 都會被組合成資料庫的查詢指令, 向網站資料庫取得或儲存資料, 這種查詢指令叫做SQL指令。上圖指令中的【1=1】是一個永遠成立的條件, 再透過其它特定符號使得正常的指令被忽略, 結果就可能使得錯誤的密碼也可以【成立】並通過系統的查驗了!

資料隱碼攻擊主要是試圖存取原本不被授權的資料庫行為, 例如:讀取不該讀的資料, 存入不該存的資料, 避開密碼查核機制…等。
我的網站有沒有問題, 該如何避免隱碼攻擊?
有經驗的程式設計師會考慮到資訊安全的問題, 並將使用者輸入的資料以安全的格式驗證傳送, 隔絕SQL資料隱碼攻擊的問題。具體應採取的措施有:

● 以參數傳送而非字串組合的方式傳送使用者輸入資料
● 妥善設定資料庫及網站相關權限
● 關注資安議題, 針對新發現的問題即時解決
 

相關網路資源

1.來源1
2.來源2