October 16, 2005

SQL Injection & Cross Site Scripting

雖然之前就在網路上看到這篇文章,商業周刊第930期-駭客帝國,但並沒詳細瞭解內容,上星期空閒時,仔細看了一下,主要談到的是2001年就出現的SQL Injection攻擊方法,還談到那位十九歲高中生蘇柏榕,雖然是自首,但是若那大考中心的系統管理者欠缺專業,依舊是沒法找出犯罪者,且舉證困難。
防護方法則從最早單機的防毒軟體,演變成網路設備的防火牆,再到入侵偵測系統(IDS),之後層次較高的漏洞掃瞄器(Black-Box Testing)和網路應用程式防火牆,未來將出現的Script語言程式碼掃瞄器(White-Box Testing)。以成效來講,程式碼掃瞄器跟漏洞掃瞄器會比較有效,再來是應用程式防火牆,其他方法則不一定。目前針對SQL Injection的漏洞掃瞄器有Acunetix Web Vulnerability ScannerWeb Application Vulnerability and Error Scanning。之前Blog也能當履歷,就是要開發Script語言程式碼掃瞄器,主要以SQL Injection的資料庫和程式碼所建構的狀態機,以Model Checking來驗證Script程式碼是否滿足SQL Injection和Cross Site Scripting發生的錯誤情況,藉此修正程式碼來防止這類的網路攻擊。雖然沒法合作,但非常期待那間公司的產品。
而入侵方式是影響成功與否的關鍵,但取得商品和金錢的物流跟金流紀錄才是證據,需要實體商品寄送的入侵,是不可能成功的;相同地,將金錢轉入銀行帳戶也是會被追蹤(人頭戶例外);因此以不需要實體寄送的商品是最難防範,且多元的付款機制,如PaypalEZpayEcoin等等,都可當作貨幣使用,完全不用跟真實帳戶有關聯(雖然也可匯入個人銀行帳戶),這些網路金流將可能成為網路犯罪的溫床。
2005-10-17補充:聯合新聞網-網路ATM若遇駭 3秒盜走10萬,讀卡機安全性也是一大問題。
2005-10-28 補充:關於SQL Injection的防範方法,還能透過Regular Expression Rules,目前Apache可以使用Jakarta Regexp
2006-01-10 補充:一篇以無名漏洞解釋Cross Site Scripting,無名小站的 XSS 安全漏洞
2006-01-11 補充:遠傳網路小額付費 遭駭客侵入洗錢,只要金流機制越來越多元,這樣問題就會不斷出現,且這問題是出在遠傳網路小額網頁程式設計師的錯,文中的"使用罕見的瀏覽網頁軟體,竟將「上一頁」功能重新顯現",哈哈,FireFox的Tab Mix Plus就可以顯示完整瀏覽器按鈕和功能,我猜那王新安先生可能是用"罕見"的Firefox吧。

揭發應用軟體階層駭客入侵的十大技巧
開發人員要對程式碼安全負責
微軟SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲
Taiwan CNET的Cross Site Scripting介紹
大陸有名的漏洞掃瞄器流光(Fluxay)
應用程式防火牆-InterDo Web Application Firewall

Posted by philipz at October 16, 2005 05:06 PM
歷史上的今天
Comments
Post a comment













Remember personal info?