SQL Injection 攻擊

最近處理了一個棘手的SQL Injection案例，又增長了一些見聞

這次遇到的狀況是發現網站上一些內容顯示有誤，似乎是HTML格式不對。仔細確認，發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<script src=" http: // 某個網站 / 某個.js "></script>

現今駭客圈已流傳一些現成的SQL注入工具，裡面已針對ORACLE、SQL、MySQL、Access等各家資料庫寫好預設的多組測試Script，不需要耐性過人也不必做苦工，交給工具快速試過一輪即可輕鬆得手。再配合Google找尋獵物，亂槍打鳥之下，就算你的網站沒什麼名氣都可能中鏢，成功就爽到，失敗了不過浪費幾百個Bytes的頻寬，真是穩賺不賠的生意啊。

一旦資料庫遭到竄改最快的方式就是直接下SQL指令做整欄script字串的刪除

以下是簡單的範例

UPDATE  options

SET     option_value = REPLACE(option_value, '<script src=http://xxx.js></script>', '')

WHERE   (option_no = 123)

 

也就是利用replace 將script取代成為空白字串

但是這只是治標不治本，真正的根源還是在於網站寫的程式碼有漏洞，

目前的作法只能先暫時勤快做備份，繼續觀察各幾天看看~~

以下文章擷取於 http://www.ithome.com.tw/itadm/article.php?c=52895

又一波惡意連結攻擊　國內知名網站成目標

 

現在只要以cn.jxmmtv.com進行搜尋，就可以找到五千多筆含有此惡意連結的台灣網頁。

 

資安專家近日發現又有駭客透過惡意連結大舉入侵台灣網站，雖然規模不如半年多前的十萬網頁受害來得大，但這次也有不少知名網站被植入惡意連結，包括Yahoo!奇摩生活+、家樂福等網頁都被點名。

 

資深資安專家邱春樹（Roger）指出，近期有許多台灣網站都被植入cn.jxmmtv.com/cn.js 和 cn.daxia123.cn/cn.js 等惡意連結，其中不乏知名網站，包括家樂福、中華職棒、甚至Yahoo!奇摩生活+。不過Yahoo!奇摩則澄清其早已有自動過濾機制阻擋惡意連結。

 

雖然有些惡意連結目前並不會作用，不過駭客很可能伺機而動，因此網站業者還是必須時時檢查網頁是否存在惡意連結。邱春樹表示，目前還在觀察駭客是否嘗試進一步發動零時差攻擊，雖然有此可能，但目前還看不出來，不過資安人員最好都能積極檢查網頁是否危險。

 

現在只要以cn.jxmmtv.com進行搜尋，就可以找到五千多筆含有此惡意連結的台灣網頁。邱春樹說，如 Yahoo!奇摩生活+被發現惡意連結已經約莫有一星期的時間，不過直到今天（1/5）下午才移除。該連結是被夾帶在生活+附加的新聞內容中，雖然目前並 不會作用，不過還要看放此惡意檔案的伺服器是不是還活著。

 

Yahoo!奇摩則回應表示，該公司網頁有自動過濾機制，不允許任何HTML語法寫入，因此即使被植入惡意連結也無法執行。該公司交易安全經理陳易昌表示，這也是因應現在網頁掛碼等惡意攻擊相當嚴重，若是以人力每天過濾也難保不出事，因此不如完全不讓HTML語法執行。

 

但對此說法，邱春樹則持懷疑態度，他表示，若是Yahoo!奇摩真的自動過濾掉所有惡意語法，網頁應該完全不會出現惡意連結，但是仍看的到被植入的惡意連結。

 

阿碼科技則表示，約自上月底開始，新一波的資料隱碼（SQL Injection）攻擊伴隨掛馬再度大量出現，許多知名企業網站均受其害。犯罪集團趁著大家休假時上網時間增加，以及網管人員可能無法立即處理時發動攻擊。曾發現單一網站就遭受來自179個攻擊來源的入侵攻擊，高達五百多次的試圖攻擊記錄。

 

根據阿碼科技SmartWAF所攔截的記錄顯示，本次攻擊手法仍然針對後端資料庫使用微軟SQL Server的網站為主。另外，攻擊來源有5筆來自台灣IP，137筆來自南韓，31筆來自於大陸。