SQL Injection 攻擊
最近處理了一個棘手的SQL Injection案例,又增長了一些見聞
這次遇到的狀況是發現網站上一些內容顯示有誤,似乎是HTML格式不對。仔細確認,發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<script src=" http: // 某個網站 / 某個.js "></script>
現今駭客圈已流傳一些現成的SQL注入工具,裡面已針對ORACLE、SQL、MySQL、Access等各家資料庫寫好預設的多組測試Script,不需要耐性過人也不必做苦工,交給工具快速試過一輪即可輕鬆得手。再配合Google找尋獵物,亂槍打鳥之下,就算你的網站沒什麼名氣都可能中鏢,成功就爽到,失敗了不過浪費幾百個Bytes的頻寬,真是穩賺不賠的生意啊。
一旦資料庫遭到竄改最快的方式就是直接下SQL指令做整欄script字串的刪除
以下是簡單的範例
UPDATE options
SET option_value = REPLACE(option_value, '<script src=http://xxx.js></script>', '')
WHERE (option_no = 123)
也就是利用replace 將script取代成為空白字串
但是這只是治標不治本,真正的根源還是在於網站寫的程式碼有漏洞,
目前的作法只能先暫時勤快做備份,繼續觀察各幾天看看~~
以下文章擷取於 http://www.ithome.com.tw/itadm/article.php?c=52895
又一波惡意連結攻擊 國內知名網站成目標
現在只要以cn.jxmmtv.com進行搜尋,就可以找到五千多筆含有此惡意連結的台灣網頁。
資安專家近日發現又有駭客透過惡意連結大舉入侵台灣網站,雖然規模不如半年多前的十萬網頁受害來得大,但這次也有不少知名網站被植入惡意連結,包括Yahoo!奇摩生活+、家樂福等網頁都被點名。
資深資安專家邱春樹(Roger)指出,近期有許多台灣網站都被植入cn.jxmmtv.com/cn.js 和 cn.daxia123.cn/cn.js 等惡意連結,其中不乏知名網站,包括家樂福、中華職棒、甚至Yahoo!奇摩生活+。不過Yahoo!奇摩則澄清其早已有自動過濾機制阻擋惡意連結。
雖然有些惡意連結目前並不會作用,不過駭客很可能伺機而動,因此網站業者還是必須時時檢查網頁是否存在惡意連結。邱春樹表示,目前還在觀察駭客是否嘗試進一步發動零時差攻擊,雖然有此可能,但目前還看不出來,不過資安人員最好都能積極檢查網頁是否危險。
現在只要以cn.jxmmtv.com進行搜尋,就可以找到五千多筆含有此惡意連結的台灣網頁。邱春樹說,如 Yahoo!奇摩生活+被發現惡意連結已經約莫有一星期的時間,不過直到今天(1/5)下午才移除。該連結是被夾帶在生活+附加的新聞內容中,雖然目前並 不會作用,不過還要看放此惡意檔案的伺服器是不是還活著。
Yahoo!奇摩則回應表示,該公司網頁有自動過濾機制,不允許任何HTML語法寫入,因此即使被植入惡意連結也無法執行。該公司交易安全經理陳易昌表示,這也是因應現在網頁掛碼等惡意攻擊相當嚴重,若是以人力每天過濾也難保不出事,因此不如完全不讓HTML語法執行。
但對此說法,邱春樹則持懷疑態度,他表示,若是Yahoo!奇摩真的自動過濾掉所有惡意語法,網頁應該完全不會出現惡意連結,但是仍看的到被植入的惡意連結。
阿碼科技則表示,約自上月底開始,新一波的資料隱碼(SQL Injection)攻擊伴隨掛馬再度大量出現,許多知名企業網站均受其害。犯罪集團趁著大家休假時上網時間增加,以及網管人員可能無法立即處理時發動攻擊。曾發現單一網站就遭受來自179個攻擊來源的入侵攻擊,高達五百多次的試圖攻擊記錄。
根據阿碼科技SmartWAF所攔截的記錄顯示,本次攻擊手法仍然針對後端資料庫使用微軟SQL Server的網站為主。另外,攻擊來源有5筆來自台灣IP,137筆來自南韓,31筆來自於大陸。
留言