热门关键词:

中国漏洞通报平台乌云公布:日盛证券外泄数亿笔资料

发布于2018-02-13 10:00:08
发布于2018-02-13 10:00:08,资讯中国漏洞通报平台乌云公布:日盛证券外泄数亿笔资料,最新消息报道,手机发烧友娱乐新闻

台湾HITCON ZeroDay漏洞通报平台,已经转告日盛证券由乌云通报的漏洞细节,预料正在着手处理中。

图片来源: 

日盛证券

中国漏洞通报平台乌云(WooYun)在3月3日下午3点57分公布,日盛证券网站因为有SQL Injection(隐码攻击)的漏洞,导致有数亿笔的资料外泄。受托回报的台湾HITCON ZeroDay漏洞通报平台窗口翁浩正表示,在当天下午已经立即转告日盛证券相关漏洞资讯,态度相当正面,预料应该正在着手修复中。但目前尚未与日盛证券资讯部取得联系,尚未得知漏洞影响范围及相关修复进度。更新:在3月4日上午,日盛证券公关部来电表示,外泄的资料为第三方资讯厂商提供的权证行情资料,并未涉及任何客户个资,已告知厂商修复漏洞中。

SQL Injection在针对Web安全漏洞的OWASP前10大的漏洞中,在2013年排名第一名的漏洞,而SQL Injection的攻击方式,主要是在输入SQL语法时,夹带一些恶意的数据库查询语法及特殊字元,输入到开发者使用的程式码中,只要这些恶意字元或语法符合SQL查询语法的规则,而且没有办法事先检查出来时,数据库服务器就会直接执行被修改过的恶意SQL语法,会对数据库系统或者是储存资料造成很大的危害,可能导致包括个人账号、密码等机敏资料外泄。

此外,SQL Injection也可能让骇客知道数据库的结构,便于进一步攻击;可能因为数据库服务器遭到攻击,系统管理员Admin账户遭到窜改,骇客对整个系统将如入无人之境;也可能因为骇客取得系统权限后,可以在网页中加入一些恶意网址、植入恶意程式或者是造成XSS(跨站网站攻击)漏洞等;骇客也可能有机会修改或控制操作系统,进一步破坏或格式化硬盘资料,甚至瘫痪整个网站系统等。

也因为SQL Injection不只发生在微软的SQL Server数据库服务器上,只要是支援批次处理SQL指令的数据库服务器,都有可能遭到这类攻击。

预防SQL Injection的方法

至于要如何避免遭遇到SQL Injection的攻击呢?叡扬资讯则提出6大建议,首先,要限制存取数据库系统者的权限,不允许除了系统管理者之外的使用者,有权力新增数据库物件。

再者,建议采用参数化( Parameterized)查询语法,过滤使用者需入的内容,或者使用参数化的查询方式,让使用者输入的各种变数,都不会直接动态连结到SQL查询语法,而是透过参数来传递这个变数的化,就可以有效避免SQL Injection的攻击。

第三点,必须加强对使用者输入资料的检核与验证,只接受所需要的参数值,拒绝包含二进制资料、Escape 跳脱字元和注释字元等一些容易造成攻击的特殊字元过滤与验证;或者是强迫使用者使用参数化语句来传递使用者输入的内容。

第四点,建议使用者应该尽量使用微软SQL Server 数据库服务器内建的安全参数,像是使用Parameters(参数化)集合,可以让使用者输入的内容视为字元值而非数据库执行语法,也会强制执行资料型别和长度检查,避免系统执行可疑的语法造成伤害。

第五点,在多层次(N-Tier)的应用架构中,使用者所输入的各种资料,都应该在经过验证后,才被允许进入到可以信任的资料区域;如果,使用者输入的资料还没有通过资料验证程序时,这些资料都应该在执行数据库任何动作前被拒绝,并向上一层传回错误资讯。

第六点,建议可以使用白箱的程式码源码检测工具,像是HP Fortify;或是黑箱的渗透测试及弱点扫描工具来寻找应用系统所隐含的漏洞,自动化弱点扫描工具包括针对主机扫描的免费软件Nessus,以及可扫描OWASP常见弱点的开源软件w3af;渗透测试则是更深度检测网站漏洞的方式。

不过,如何让开发人员学会安全的程式开发,才是真正的终极解决之道。

中国漏洞通报平台乌云在3月3日下午通报,日盛证券网站有SQL Injection漏洞,可能导致数据库数亿笔外泄。(更新:日盛证券公关部在3月4日上午来电澄清,外泄资料是权证行情资讯,不涉及客户个资)

※更新资讯:日盛证券澄清:外泄资料为第三方厂商提供权证行情,没有客户个资

  • 赞助商广告