標籤:
駭客
【大紀元1月20日訊】〔自由時報記者邱俊福/台北報導〕就讀北部某知名大學二年級的張姓學生,涉嫌使用SQL指定漏洞,以隱碼攻擊方式,成功入侵10餘個學校、民間企業網站的資料庫,竊取帳號、密碼等資料,再提醒管理者其資料庫存有漏洞,以炫耀自己的駭客功力,案經刑事局偵九隊偵查,將張嫌約談到案,依法移送檢方偵辦。
偵九隊表示,現在許多政府與企業電子商務網站都整合SQL資料庫系統,提供使用者上網時填寫個人資料、進行資料查詢或金融交易等功能。
資料庫查詢植入攻擊法
這次張姓大學生使用的「SQL Injection」俗稱「資訊隱碼」攻擊,為資料庫查詢植入攻擊的一種,多半利用網頁程式設計者忽略檢查使用者輸入內容,所造成的安全瑕疵。也就是趁填寫資料或是查詢資料的同時,在空白欄位上夾帶惡意的SQL查詢指令闖關,以進行非法、未授權的資料查詢與修改動作。
想成最頂尖工程師
據20歲的張姓大學生向警方表達,他最大的心願是成為最厲害的電腦工程師,且自認有興趣追查資訊安全漏洞問題,才會基於提醒網路管理者的善意下,想測得相關漏洞及成功取得相關帳號密碼,再告訴管理者存在的漏洞,讓其改善。
駭客經驗寫入報告
偵九隊發現,現在許多大學資訊、理工科系老師,在要求學生寫作業時,部分學生都會利用撰寫程式的機會,上網擷取探討資安漏洞問題的相關程式,並嘗試以程式侵入他人網站,將經驗寫入自己的報告中。同時,這些學生駭客常為證明本身能力或電腦研究成果而撰寫程式,任意入侵別人系統,意欲取得帳號密碼後,再告知被害網管人員,但未經他人同意便進行漏洞測試且抓取他人電腦主機檔案、帳號及密碼等資料,已經違法。
(http://www.dajiyuan.com)
