广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1991 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
调查局:企业应防范大规模资料隐码攻击
调查局:企业应防范大规模资料隐码攻击
更新日期:2008/05/25 13:37
http://tw.news.yahoo.com/article...5/5/zx2p.html

(中央社记者林长顺台北二十五日电)调查局近来发现骇客集团利用来自中国为主的中继站,对台湾企业网站进行大规模的资料隐码(SQL Injection)攻击,整体受害情况难以估算,应有数万网页受害。调查局推估,以目前攻击成功累积的速度来看,这波攻击应该是以程式自动化攻击,受害网站数量仍在持续增加中。

  资料隐码攻击(SQL injection)又称为隐码攻击,发生于应用程式资料库层的安全漏洞。若在程式输入的资料字串中夹带SQL指令,这些指令会被伺服器误认为是正常的SQL指令而执行,资料库因而遭到破坏。

  调查局指出,这次大规模攻击事件,目的应为藉由资料隐码攻击,在企业网站放置挂马网页,再以此攻击浏览网站的使用者。民众连上受害的企业网站后,将会连结到特定网址下载恶意程式,个人资料可能因此遭入侵而外泄,影响民众权利甚钜。

  调查局资讯室与坊间资安公司合作分析后,发现这次攻击透过大量遥控方式,短时间远端遥控多台跳板电脑,藉由已知的漏洞,对台湾企业网站进行资料隐码攻击。由于这次攻击行为并非直接窜改网页,而是直接修改资料库内容,受害企业往往很难发现攻击行为。

  调查局表示,企业若要侦测是否遭到资料隐码攻击,可以搜寻web log,了解资料库中是否有dEcLaRe、cUrSoR、fEtCh、cAsT等异常字串;企业也可以检查资料库内容是否有被安插字串,如果网站遭到攻击,栏位中的资料均会被安插前述字串。

  另外,企业也可以使用搜寻引擎,输入site:与公司网址,即可初步测知是否有遭植入恶意连结。970525



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2008-05-25 19:41 |
笑笑 会员卡 葫芦墩家族
个人文章 个人相簿 个人日记 个人地图
发文大师奖
头衔:    
风云人物
级别: 风云人物 该用户目前不上站
推文 x137 鲜花 x523
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的是恐怖...
我有看到另一则新闻

爆量SQL Injection攻击自动化 上千个台湾网站遭攻击
大量SQL Injection攻击,4月底在欧美爆发,不到半个月的时间,就蔓延到亚洲。台湾遭到大量SQL Injection攻击的网站,一天就有超过200个网站、将近2,000个网页被植入恶意连结。

从4月底开始,在欧美陆续发生大量SQL Injection(隐码攻击)攻击事件,而这样的攻击手法,在短短半个月时间,就已经从欧美蔓延到亚洲,台湾、中国的网站更是首当其冲。根据资安公司观察,此次骇客发动的大量SQL Injection攻击,受骇网站不乏知名企业和公益组织,光是台湾网域(.tw),就已经有近2,000笔网页,被植入恶意连结,甚至出现单一网站被植入221个恶意程式。

SQL Injection长期以来,名列多种Web攻击手法排名榜前2名。IBM ISS资安研究中心X-Force日前就曾经指出,「全球超过50万个网站遭到第三波大量SQL Injection攻击。」资安公司阿码科技(Armorize)由部署在企业端的应用程式防火墙的记录发觉,这种大量SQL Injection攻击已经从欧美蔓延到亚洲。

阿码科技从客户端应用程式防火墙记录中,发现大量具有相同特征的SQL Injection攻击。该公司执行长黄耀文表示,根据5月16日当天的统计,光是台湾网域(.tw)的网站,就有215个网站遭到大量SQL Injection攻击,至少有1,988个不同网页,被植入大量恶意连结,而中国网域(.cn)的网页,也有超过4,600个恶意连结。

黄耀文说,这些被植入恶意连结的台湾网站,每天的浏览数量高达10万次。他说,其中也发现有单一网站,被植入221个恶意连结。黄耀文表示,这个统计只是针对单一恶意连结的统计结果。

阿码科技资安技术顾问古贵安在发现这样的攻击手法后,第一时间回溯追踪骇客攻击流程,他循线找到骇客用来记录此次攻击成效的网站。在资料仍处于公开的行况下,取得了骇客记录攻击结果的资料。他分析5月16日的骇客攻击成果发现,至少有1万个网站成功植入恶意程式,相关的恶意连结则高达10万个。

若一步分析,古贵安指出,攻击者以自动化程式搭配Google搜寻引擎,找到有SQL漏洞的网站,将恶意连结植入资料库中。「整个过程已经自动化,比起先前人工作业的SQL Injection攻击,先进行扫描再入侵的方式,自动化攻击的效率和数量都大为增加。」他说。

阿码科技艾克索夫资安实验室首席资安顾问邱铭彰表示,从这一波大量SQL Injection攻击首度发现,自动化SQL Injection攻击加上自动化搜寻引擎寻找目标,以及可以自动化散布进行网页挂马的蠕虫。以前骇客进行SQL Injection攻击,是使用手动工具,且有目的的攻击,邱铭彰表示:「但这一次骇客透过自动化SQL Injection蠕虫的感染方式,让资料库的每一个栏位,都可能被安插恶意连结或是被改写。」

阿码科技资安顾问余俊贤指出,这次骇客只用一行攻击码就成功入侵,将恶意连结注入到后端资料库,将恶意连结安插在所有资料库的栏位中。他说,因为程式码只有一行,很难在Log(记录档)档中发现。

更有甚者,邱铭彰表示,以往企业用户杜绝SQL Injection攻击的方式之一,是关闭错误讯息以预防自动化工具的扫描,但这一次的攻击并不需要透过错误代码查询入侵途径。「只要注入点未作输入资料验证,注入SQL Injection漏洞即可完成攻击。」余俊贤说,这也使得一些认为已经关闭错误讯息就可以高枕无忧的网站,仍大量遭到SQL Injection攻击。

邱铭彰指出,另外一个值得关注的现象,是被植入恶意连结、恶意程式的受骇电脑,一旦电脑遭骇客控制,就会变身成为攻击其他电脑的加害者。余俊贤补充说明,这次骇客第一波攻击的对象,多是流量大、处理器运算功能佳的网站,将这波网站成功植入恶意程式后,再藉由这些网站去攻击其他的网站。「骇客正在布局,等待一个零时差攻击(Zero Day Attack)的机会,再一次爆发。」余俊贤说。

古贵安表示,这一次骇客自动化的SQL Injection攻击,主要是利用包含微软IE浏览器MS06-014、MS07-017,以及RealPlayer、迅雷等程式的漏洞进行攻击。黄耀文指出,这次许多骇客攻击主机的IP位址位于中国,加上许多恶意程式都经过加壳(Pack),一般防毒软体对于这样的攻击手法的辨识率很低。

某医学中心的分院网站遭受到此次攻击。该分院资讯主管表示,在4月份就出现小规模的攻击,这次因为遇到假日,台北总院的IT人员从频宽和流量监控发现异常现象后,因为资料库被大量改写,为了确保资料安全性,便将网站伺服器关闭1天,进行后续的补救措施。

该主管表示,面对这样的攻击手法,医院有意重新安装资料库作业系统,并重新修补所有系统与程式漏洞,希望能够降低遭到SQL Injection攻击的机会。在流量监控上,也透过封锁外部IP和特定通讯埠,并暂时禁止医院其他部门修改网页内容的权限。不过,该主管指出,先前一些大规模网路攻击,该医院可能因为有防备或事先预警躲过一劫,「但网路攻击手法层出不穷,在没有百分之百的防御方式下,面对各种网路威胁与攻击手法,医院只能在成本与技术的综合评估下,戒慎恐惧的面对每一次的网路威胁。」该IT主管说。

面对层出不穷的SQL Injection攻击,IBM ISS全球资安策略总监Gunter Ollmann表示,除了在软体开发上,谨守SDLC(软体开发生命周期)的开发准则外,「每天、每周持续针对Web应用程式进行扫描,每年至少2次的弱点评估(VA)或渗透测试(PT),是有效的预防方式。」他说。

企业如何自我检查是否遭到SQL Injection攻击?土法炼钢的方式就是利用搜寻引擎加上适当的关键字,例如SQL攻击字串或者是恶意网址,就可以自我检查企业网站是否被植入恶意连结。余俊贤指出,企业除了可以申请免费试用的Hack Alert服务外,也可以透过搜寻Web Log是否有特定SQL攻击字串,并看该Log是否回应HTTP 200埠。
他说:「若Web Log有回应HTTP 200埠,就表示企业已经被入侵。」

古贵安指出,大量SQL Injection攻击主要是针对资料库,并伺机植入恶意连结。他说,企业的资料库管理人员面对这一波的攻击趋势时,应该要检查资料库内容是否遭到任何窜改,若有,除了进行资料库的复原作业外,也应该修补网站所有程式码的SQL Injection漏洞,避免骇客再次入侵,窃取网站资料。文⊙黄彦棻

大量SQL Injection攻击所利用的软体漏洞列表

● MS06-014 [CVE-2006-0003]
● MS07-017 [CVE-2007-1765]

● RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]

● GLCHAT.GLChatCtrl.1 [CVE-2007-5722]

● MPS.StormPlayer.1 (暴风影音) [CVE-2007-4816]

● QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚无CVE编号

● DPClient.Vod (迅雷) [CVE-2007-6144]

● BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]

● VML Exploit[CVE-2006-4868,MS06-055]

● PPStream [CVE-2007-4748]

资料来源:阿码科技,2008年5月


新闻来源: ITHOME


每天大笑三声,可以让你更长寿哦...^^
献花 x0 回到顶端 [1 楼] From:台湾新世纪资通股份有限公司 | Posted:2008-05-29 09:38 |
BrianFan
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x5 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的是太可怕了!
难道不能够反攻吗?
还是阻挡?


献花 x0 回到顶端 [2 楼] From:台湾新世纪 | Posted:2008-06-02 08:58 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054451 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言