2008-07-24

深入解析Mass SQL Injection

 
每週二∼六出刊.2008.07.25
 
本 期 目 錄 簡介/舊報明細
深入解析Mass SQL Injection
絕對會讓你眼花撩亂的筆電鍵盤
人+藝術+科技=悠閒逛東京
這麼完美的導覽員,不是真人,也不是機器人...

優惠訊息

成為廠商最愛的嵌入式專才,政府補助您學費省一半
iThome七週年『我生日,你快樂』熱鬧登場!
2008 iThome2000大調查報告 年度重量級鉅獻!

專題報導 

深入解析Mass SQL Injection

從攻擊的對象、攻擊手法的更新與規模來看,亞洲地區的攻擊,可說在技術上較為成熟且快速,攻擊對象也較具有經濟效益。這種攻擊手法採用了既有的入侵手法、重新組合,只要了解其中的特質及可能受影響的各種系統,就能協助你擬定可行的防禦措施。

近期的Mass SQL Injection攻擊,讓整個華語地區的企業IT陷入恐慌的氣氛,IT人員深感無力,對廠商更有迫切的壓力。其實,只要心態上如履薄冰,做法上扎實穩健,看清攻擊手法的本質後,在IT人與廠商共同配合之下,應該可以度過難關。

在亞洲地區擴大災情之前,其實在國外早有攻擊事件發生,只是規模不若亞洲地區。由於國外的攻擊事件,目標集中在學校(.edu)及組織(.org),而非企業或政府,所以並沒有引起亞洲地區的廣泛注意。

先攻陷資料庫、網站,接著綁架個人端電腦,最後,發動大量攻擊
注意!這次的攻擊路徑與方式並非是全新的型態,而是將舊的手法重新組合!
筆者將此次的攻擊大致上可分成3階段:
第1階段:Mass SQL Injection
駭客鎖定具有SQL Injection漏洞的網站伺服器及後端的資料庫伺服器,執行Mass SQL Injection。這些漏洞包含靜態網頁中HTML的text、radio button、checkbox和option等表單項目,加上動態網頁中的資料庫伺服器內容,以及網頁呈現會使用到的應用程式,如Flash。

第2階段:鎖定使用者電腦
這個階段包含3個步驟,當使用者瀏覽這些遭到攻陷的網站時,被駭客植入的惡意程式或惡意連結,會將使用者的連線重新導引至惡意程式所在的伺服器,然後,從中下載更多的惡意程式,例如特洛依木馬、後門、USB病毒和遠端控制程式。這些做法,無非是為了綁架這些使用者的電腦,以便後續利用,甚至有可能透過USB病毒,持續在企業內部擴大綁架範圍。

全文>>
專欄 

絕對會讓你眼花撩亂的筆電鍵盤

筆電鍵盤的問題在於:它得承載標準鍵盤所有的功能,還得額外加入筆記型電腦的特殊功能,但它不能太高,更不能太大,於是上面的各種符號就令人目眩神迷了。

終於,我們擺脫三種筆電睡法(睡眠/交互式睡眠、休眠、關機)的糾纏了。

終於,我們知道,按下電源開關可以讓電腦睡,從「開始」功能表可以讓電腦睡,按下「睡眠」按鈕可以讓電腦睡,闔上電腦螢幕可以讓電腦睡,你也可以設定「過了一段時間內沒碰電腦時」電腦會自動睡。至於睡的方式,就上面那三種,你可以接受預設值,也可以自己設定。

關於「主鍵區」和「功能鍵區」
由於空間足夠,一般桌上型電腦的鍵盤可以大大方方把所有按鍵擺置地很鬆散。請參考「一般桌上型電腦鍵盤的按鍵配置」圖,各位可以看到,鍵盤一般分為四個主要的區域:主鍵區、功能鍵區,文書鍵區和數字鍵區,有的高檔鍵盤還會有特殊功能鍵(多媒體功能鍵)。

● 主鍵區
主鍵區是打字中最常使用的地方,所以這部份最好不要改變配置。要是有人膽敢改變主鍵區的配置,這筆電一定會招致「難以操作」的惡名吧!不過,有些電腦因為尺寸太小了,偶而會無可奈何地修改主鍵區的配置。

全文>>
前期文章 全部歷史文章
出刊日期 出刊主題
2008-07-24 BPM解決方案採購指南
2008-07-23 蓋茲的退休
2008-07-22 B2C服務戰開打 24小時到貨
2008-07-19 思科CCNA報名費用6月底大漲3千...
主編推薦  
瘋知識,全年不打烊!
改變穿著~不再被「油」所苦
i-pod 在自動販賣機也可以買的到
阿泳和陽子的韓流戀愛
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服
台北市敦化南路二段105號11樓 ,TEL:(02)2708-8038,FAX:(02)27094848。
廣告刊登授權服務隱私權聲明消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online

沒有留言: