只为炫耀功力 大学生扮骇客

【大纪元1月20日讯】〔自由时报记者邱俊福／台北报导〕就读北部某知名大学二年级的张姓学生，涉嫌使用SQL指定漏洞，以隐码攻击方式，成功入侵10余个学校、民间企业网站的资料库，窃取账号、密码等资料，再提醒管理者其资料库存有漏洞，以炫耀自己的骇客功力，案经刑事局侦九队侦查，将张嫌约谈到案，依法移送检方侦办。

侦九队表示，现在许多政府与企业电子商务网站都整合SQL资料库系统，提供使用者上网时填写个人资料、进行资料查询或金融交易等功能。

资料库查询植入攻击法

这次张姓大学生使用的“SQL Injection”俗称“资讯隐码”攻击，为资料库查询植入攻击的一种，多半利用网页程式设计者忽略检查使用者输入内容，所造成的安全瑕疵。也就是趁填写资料或是查询资料的同时，在空白栏位上夹带恶意的SQL查询指令闯关，以进行非法、未授权的资料查询与修改动作。

想成最顶尖工程师

据20岁的张姓大学生向警方表达，他最大的心愿是成为最厉害的电脑工程师，且自认有兴趣追查资讯安全漏洞问题，才会基于提醒网路管理者的善意下，想测得相关漏洞及成功取得相关账号密码，再告诉管理者存在的漏洞，让其改善。

骇客经验写入报告

侦九队发现，现在许多大学资讯、理工科系老师，在要求学生写作业时，部分学生都会利用撰写程式的机会，上网撷取探讨资安漏洞问题的相关程式，并尝试以程式侵入他人网站，将经验写入自己的报告中。同时，这些学生骇客常为证明本身能力或电脑研究成果而撰写程式，任意入侵别人系统，意欲取得账号密码后，再告知被害网管人员，但未经他人同意便进行漏洞测试且抓取他人电脑主机档案、账号及密码等资料，已经违法。

(http://www.dajiyuan.com)