Plurk
SQL Injection, 資料隱碼, SQL 指令植入式攻擊
大約在2002年,做過一份學校報告,講的是關於SQL Injection的問題,當時手邊的工作,正好跟網路安全有點關係,參考了國外的一份報告,在MS SQL上實作了一些測試,主要針對一般會員網站的登入作業,做了SQL Injection範例,當時感覺很新的概念(其實只要被報告出來,就不是新東西了),在四五年後的今天,網路上還是充斥著這類不安全的網站,這如何讓人不擔心?
聽說朋友公司的會員越來越多,很"順手"的幫他測試一下,完全不費力的,噹噹...登入完成!這是怎樣的情形?幾千個會員一目暸然的列在上頭,對於商業經營而言,這可是很好的參考資料呢!這根本就是要人來拿吧!不必多說,想搞鬼的人應該老早就把它帶走了!
幾篇參考資料:
- SQL Injection 簡介與相關防護 - 台灣電腦網路危機處理暨協調中心
- SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲 - Microsoft
- 『資料隱碼』SQL Injection的源由與防範之道 - Microsoft
- 15 個免費 SQL Injection Scanners - Real-Blog
- SQL Injection Cheat Sheet - Ferruh.Mavituna
文章裡還有一些參考資料,Microsoft的"SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲"這篇內容,跟我原本做的報告很像,應該是參考了另篇國外報告來的,不過眼見為憑,我自己的那篇報告都不知道擺哪去了!只能猜猜囉!
訂閱:
張貼留言 (Atom)
0 意見:
張貼留言