标签:
刑事局
【大纪元1月19日报导】(中央社记者孙承武台北十九日电)刑事局侦九队今天侦破一起大学生充当“隐码骇客”非法入侵网站案。刑事局资讯室指出,“ SQL Injection ”俗称“资讯隐 码”攻击,是一种资料库查询植入攻击,多半是利用网页程式设计者忽略检查使用者输入内容所造成的安全瑕疵。
对于这类骇客攻击手法,资讯室警官分析,有心者可趁填写资料或是查询资料的同时,在空白栏位上夹带恶意的SQL查询指令,以进行非法、未授权的资料查询与修改动作。
但值得注意的是,SQL Injection 既非资料库系统本身的漏洞,更非任何作业系统或是网站服务器本身的漏洞。简言之,这是网页程式设计人员在撰写网页程式,忽略加入“ Input Validation ”输入值正确性检查的功能,以及未做好资料库权限控管。
结果造成入侵者得以夹带恶意指令闯关,甚至略过防火墙与身份认证等层层安全关卡的一种“程式漏洞”,直接“登堂入室”窃走资料库系统内的客户交易资料、信用卡资料、甚至是盗转账等非法行为。
