Fw: [新聞] 駭客界林志炫 盜改1.2萬筆個資(資料隱碼攻擊)
※ [本文轉錄自 Web_Design 看板 #1HXmVv6Z ]
作者: dalconan (寒江雪) 看板: Web_Design
標題: [問題] 新聞-駭客界林志炫 盜改1.2萬筆個資
時間: Mon May 6 09:31:34 2013
http://www.libertytimes.com.tw/2013/new/may/6/today-so11.htm
〔記者姚岳宏/台北報導〕國內首屈一指的古典音樂網站muzik-online日前遭駭客入侵,
1萬2千餘筆會員資料全被竄改,整個網站大亂,警方追查發現,原來是北部某國立大學休
學研究生施孟甫,為證明自己突破網路資安的能力,才挑上有資安達人坐鎮的該網站,進
行了這場「駭客任務」。
據了解,25歲駭客施孟甫曾就讀資工研究所,無前科,目前休學中,白天在家裡開設的印
刷廠工作,晚上就以自己的專業,替別人寫手機App程式,警方說他長相斯文,有點像知
名歌手林志炫,恰巧兩人生活背景也接近 (林志炫白天也在印刷廠工作,晚上當歌手)
,但施被逮後,不認為自己觸法,表示「我又沒有把這些資料拿來做壞事!」
入侵muzik-online
至於他針對的資安達人「KEN」,據說是業界頗負盛名的資安高手,其所管理的網站號稱
「無人可入侵」;警方認為,施某挑上該網站,應是為了與其「較勁」。
警方調查,知名古典音樂網站muzik-online今年3月間發現有駭客入侵會員資料庫,消除
全部會員姓名;一般來說,駭客與資安達人的網頁較勁很常見,有時角色還會互換,幾乎
都不會向警方報案,可能是施某此舉已嚴重影響該公司利益,又或者無法彌補,才向警方
報案。
資料隱碼攻擊 突破防火牆
刑事局偵九隊與科技研析組合組專案小組比對分析,得知駭客利用SQL injection(資料
隱碼攻擊)手法,對該網站進行攻擊,取得權限而更改資料。
所謂SQL injection(資料隱碼攻擊),是指在SQL指令之中,嵌入一個惡意程式碼,以取
得資料庫系統的控制權,可輕易通過防火牆和身分驗證機制,進而控制並更改資料庫。
警方仔細分析入侵手法與IP位置,上週循線前往施某位於北市內湖家中,查扣涉案蘋果筆
電,施承認犯行,並說國內許多網站普遍存在這種資安漏洞,他只是為了證明自己能力。
警訊後依妨害電腦使用罪嫌將他移送士林地檢署偵辦。
===================
我想問的是,SQL injection不是一般都會防嗎?(檢查輸入字串、伺服器做檢查等技巧)
尤其這個網站又有資安人員負責,還是說就算在程式碼和伺服器端檢查,
還是有可以繞過檢查的手段?如果有的話,那要怎麼防呀?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.161.138.165
→
05/06 11:21, , 1F
05/06 11:21, 1F
→
05/06 11:23, , 2F
05/06 11:23, 2F
→
05/06 11:24, , 3F
05/06 11:24, 3F
→
05/06 11:24, , 4F
05/06 11:24, 4F
→
05/06 11:25, , 5F
05/06 11:25, 5F
→
05/06 11:28, , 6F
05/06 11:28, 6F
→
05/06 11:58, , 7F
05/06 11:58, 7F
推
05/06 14:12, , 8F
05/06 14:12, 8F
→
05/06 16:01, , 9F
05/06 16:01, 9F
推
05/06 21:25, , 10F
05/06 21:25, 10F
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: wayren (42.71.167.191), 時間: 05/06/2013 21:25:58
→
05/06 21:36, , 11F
05/06 21:36, 11F
→
05/06 21:38, , 12F
05/06 21:38, 12F