摘要:SQL Injection 123
最近火熱的資安議題,就是大規模攻台的SQL Injection攻擊。
在五月初時,已可看到一些戰火;而在5/20的前後,
為攻擊的最高峰,並陸續在各大媒體披露;一直到最近才稍稍減緩。
以下是我的一些觀察:
1. 無特定對象,且不限系統平台;只要有資料庫的網站,都是攻擊對象
2. 時間多在非上班時間,如上班前早上、中午、下班後晚上、午夜凌晨
3. 攻擊次數多分散在各日
4. 每次(日)攻擊IP皆不同
5. 語法特徵混雜16進位碼及大小寫
下面是一些在家中查到的攻擊語法,
大致為權限測試及惡意網址注入。
摘要如下(部分文字以星號取代):
權限測試 (原碼):
權限測試 (實際語法):
惡意網址注入 (原碼):
惡意網址注入 (實際語法):
就語法來說,十分精簡,且不易攔截。
<<後語>>
SQL Injection攻擊雖然多指向網頁程式問題,
但個人認為,資料庫權限及語法、網站漏洞修補、作業系統權限及漏洞修補等,
也一樣重要。
只是這些工作,都非一人所能完成,
且環環相扣,因此也不容易面面俱到。
以下是一些個人覺得很有幫助的說明:
SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲 (恆逸資訊 胡百敬)
http://www.microsoft.com/taiwan/sql/sql_injection_G1.htm
LINQ - 對付 SQL Injection 的 "免費補洞策略" (微軟技術顧問 黃忠成)
http://www.microsoft.com/taiwan/msdn/columns/huang_jhong_cheng/LVSS.htm
老掉牙的SQL Injection卻造成你的網站在裸奔 (網路攻防戰 OpenBlue)