2008-09-15

SQL Injection新威脅大剖析

 
每週二∼六出刊.2008.09.16
 
本 期 目 錄 簡介/舊報明細
SQL Injection新威脅大剖析
老問題的新威脅
硬體送你!請繼續用我的服務
企業背後真正的目的是….

優惠訊息

HP年度盛會盡在 9/18 Business Technology @ Work
怎樣作資安,才不被當作多管閒事?搶救辦公室人際關係!
想成為下位贏家嗎? iThome助你一臂之力

專題報導 

SQL Injection新威脅大剖析

你相信嗎?只要花100元人民幣就可以買到SQL Injection自動化攻擊工具,而且這片光碟還附有教學影片,教導如何攻擊與竄改資料庫。當人人都可搖身一變為SQL Injection駭客,這就不再只是個老問題,而是嚴重的新威脅。


現在只要花400元,不論是否懂駭客攻防原理、原則,幾乎人人可變成SQL Injection駭客,而面對這些不斷翻新手法的SQL Injection攻擊,企業必須掌握駭客經濟學的特性,才能找到有效的縱深防禦策略。

從駭客經濟學看SQL Injection攻防
SQL Injection是一個有10年歷史的老問題了,而駭客的攻擊手法隨著時間的演進也不斷的推陳出新,企業必須要站在駭客的角度思考,從駭客經濟學的角度來思考戰略,才能持續打贏這場沒有終點的網路攻防戰。

4大SQL Injection防護絕招
絕招1 借力使力,從攻擊手法學防守
資安專家一致認為SQL Injection攻擊手法其實是老問題,但企業網站遭受SQL Injection攻擊的事件卻層出不窮,若要有效建立防護機制,企業必須借力使力,善用各種可用資源,甚至懂得利用駭客的攻擊資訊,來建構網站的防禦系統,讓防護人力發揮最大的效果。

絕招2 中途攔截,及時打斷攻擊路線
從SQL Injection攻擊地圖來看,不論是MS SQL/ASP或是MySQL/PHP,從前端網頁入侵到後端資料庫的過程,是一連串的攻擊組合,必須一氣呵成,才能達到入侵的效果。因此只要監控SQL Injection攻擊路線,及時打斷駭客入侵的連續程序,就能達到防禦效果。

絕招3 縱深防禦,用隔離與監控來鞏固
資料庫是SQL Injection攻擊的主要目標,理論上,採取徹底的隔離策略,就能有效降低潛在的入侵風險。若能清查資料庫帳號權限,只允許有經驗的資料庫人員接觸,就能有效預防潛在風險。

絕招4 先擋再修,以應用防火牆搶時間
企業網站發生SQL Injection問題後,不論是添加檢查使用者輸入資料的程式碼,或者是調整資料庫權限架構等,都需耗費數周時間才能達到一定的防護效果。而應用程式防火牆雖然要價百萬,卻可快速建立網站基本防護,爭取修補程式的緩衝時間,也是一個不錯的防護方法。

撰文☉王宏仁、黃彥棻 攝影☉楊易達、賴基能

全文>>
專欄 

老問題的新威脅

今年上半年,臺灣就爆發短時間內超過10萬個網站遭受SQL Injection攻擊的事件,讓人對SQL Injection攻擊有了全新認知。本期深入分析SQL Injection的攻擊手法,以及許多大家其實都做得到的防禦手法,駭客手法在改變,我們防禦的觀念也必須改變。

SQL Injection是一個有十年歷史的老問題了,但你可不要以為它只是個老掉牙的劇碼不就是網站開發人員不仔細檢查程式碼而讓駭客有可乘之機。現在,隨著攻擊手法的精進,這個老問題帶來了新的威脅。

SQL Injection攻擊的手法已歷經多次轉變。網站要呈現動態的資訊,主要都是由網站應用程式以SQL語法查詢資料庫所對應的資料,最早期的SQL Injection攻擊手法很簡單,駭客在SQL查詢語法中插入會造成資料庫系統無法辨識的字元,讓系統回應錯誤資訊,駭客藉由這些系統傳回的錯誤訊息,就能分析出資料庫系統的架構及設定等狀況,有助於進一步入侵資料庫之用。

後來大家都知道了這個攻擊手法,因此都會關閉系統回覆錯誤訊息的功能,讓駭客無從進一步掌握資訊。當然,現在沒人用這個攻擊方法了,不過,卻仍有不少管理人員以為關閉錯誤訊息回應功能就不會有SQL Injection的疑慮了。

SQL Injection的攻擊手法接著轉為,在SQL查詢語法中插入能夠讓資料庫的邏輯判斷誤以為真的惡意指令,藉此取得資料庫系統的指令權限或是控制權。如果資料庫系統管理者疏於注意,以系統管理者的最高權限安全來安裝資料庫,在這種攻擊手法下,很可能就會被駭客取得與管理者相同的使用權限,那麼駭客就可以對資料庫為所欲為了。

全文>>
前期文章 全部歷史文章
出刊日期 出刊主題
2008-09-13 推廣資訊治理師,資深主管10月...
2008-09-12 英特爾Nehalem世代即將來臨
2008-09-11 因應少量多樣生產模式,倫飛電...
2008-09-10 IBM將推企業內部雲端運算平臺
主編推薦  
任你挑•隨你看∼攏免錢!
好吃背後的祕密∼鼎泰豐小籠包奇蹟!
多重觸控螢幕玩出新把戲
如何教出孩子的競爭力
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服
台北市敦化南路二段105號11樓 ,TEL:(02)2708-8038,FAX:(02)27094848。
廣告刊登授權服務隱私權聲明消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online

沒有留言: