SQL Injection & Cross Site Scripting

雖然之前就在網路上看到這篇文章，商業周刊第930期-駭客帝國，但並沒詳細瞭解內容，上星期空閒時，仔細看了一下，主要談到的是2001年就出現的SQL Injection攻擊方法，還談到那位十九歲高中生蘇柏榕，雖然是自首，但是若那大考中心的系統管理者欠缺專業，依舊是沒法找出犯罪者，且舉證困難。
防護方法則從最早單機的防毒軟體，演變成網路設備的防火牆，再到入侵偵測系統(IDS)，之後層次較高的漏洞掃瞄器(Black-Box Testing)和網路應用程式防火牆，未來將出現的Script語言程式碼掃瞄器(White-Box Testing)。以成效來講，程式碼掃瞄器跟漏洞掃瞄器會比較有效，再來是應用程式防火牆，其他方法則不一定。目前針對SQL Injection的漏洞掃瞄器有Acunetix Web Vulnerability Scanner和Web Application Vulnerability and Error Scanning。之前Blog也能當履歷，就是要開發Script語言程式碼掃瞄器，主要以SQL Injection的資料庫和程式碼所建構的狀態機，以Model Checking來驗證Script程式碼是否滿足SQL Injection和Cross Site Scripting發生的錯誤情況，藉此修正程式碼來防止這類的網路攻擊。雖然沒法合作，但非常期待那間公司的產品。
而入侵方式是影響成功與否的關鍵，但取得商品和金錢的物流跟金流紀錄才是證據，需要實體商品寄送的入侵，是不可能成功的；相同地，將金錢轉入銀行帳戶也是會被追蹤(人頭戶例外)；因此以不需要實體寄送的商品是最難防範，且多元的付款機制，如Paypal、EZpay及Ecoin等等，都可當作貨幣使用，完全不用跟真實帳戶有關聯(雖然也可匯入個人銀行帳戶)，這些網路金流將可能成為網路犯罪的溫床。
2005-10-17補充：聯合新聞網-網路ATM若遇駭 3秒盜走10萬，讀卡機安全性也是一大問題。
2005-10-28 補充：關於SQL Injection的防範方法，還能透過Regular Expression Rules，目前Apache可以使用Jakarta Regexp。
2006-01-10 補充：一篇以無名漏洞解釋Cross Site Scripting，無名小站的 XSS 安全漏洞。
2006-01-11 補充：遠傳網路小額付費 遭駭客侵入洗錢，只要金流機制越來越多元，這樣問題就會不斷出現，且這問題是出在遠傳網路小額網頁程式設計師的錯，文中的"使用罕見的瀏覽網頁軟體，竟將「上一頁」功能重新顯現"，哈哈，FireFox的Tab Mix Plus就可以顯示完整瀏覽器按鈕和功能，我猜那王新安先生可能是用"罕見"的Firefox吧。