微軟再次警告資料隱碼漏洞問題

分類: 網路 市場訊息   5/26/2008   編輯部


微軟公司在 5/22 發布新聞警告網站程式設計人員應該注意程式碼漏洞問題後(Cross Site Scripting、SQL Injection),在短短的四天後又再度發布新聞稿要所有網站主與工程師務必要重新檢視網頁程式碼,否則將很容 易被駭客使用『資料隱碼』(SQL Injection)方式入侵網站。SQL Injection 是防火牆、甚至防毒、防木馬軟體都很難監測的網路漏洞,而不僅僅是 Windows + MS SQL 平台,只要是使用 SQL Server 的網站平台都有可能是駭客攻擊的對象。以下便是微軟新聞稿全文。

前文相關報導: 微軟警告網站程式碼漏洞成為駭客焦點


攻擊增溫 網站程式碼再次成為駭客焦點
台灣微軟呼籲網頁設計人員重新檢視網頁程式碼 防駭根本從安全程式碼著手

(2008年5月26日,台北)日前已知包括全球知名公益網站等十二萬個中文網頁遭駭客入侵,導致善心人士個人資料遭不法利用,為防止攻擊事件及範圍擴大,台灣微軟公司提醒所有的企業及客戶務必正視此一問題,並建議網頁開發人員參重新檢視網頁程式碼,以預防此類攻擊。

此次駭客攻擊手法並非透過病毒及一般攻擊手段,也不是利用任何Internet Information Services或Microsoft SQL Server新的或已知的安全漏洞,而是利用『資料隱碼』(SQL Injection)來輸入具破壞性的程式碼,只要網頁設計者在撰寫網頁程式時,未確實遵照安全規範就有可能遭受攻擊,此類攻擊手法是現階段的任何防火牆或是防駭客系統非常難以防範的。因此,防止利用『資料隱碼』(SQL Injection)植入惡意程式碼的根本解決之道,需由網頁開發安全程式碼著手,唯有建立起良好的程式開發風格與習慣,方能阻擋此類的攻擊事件。『資料隱碼』(SQL Injection)不是只針對 SQL Server,只要使用SQL Injection語法來查詢及存取資料的資料庫包括自由原始碼Linux BASE、都有遭受攻擊的可能:

  1. 此次攻擊係屬於同波攻擊的第二種變形,影響範圍不侷限於亞洲區與特定類型網站。

  2. 該波攻擊的型態主要分成兩部分進行,首先駭客採用多種駭客工具針對網站上之應用程式掃描,待發現具有Cross Site Scripting、『資料隱碼』SQL Injection、Blind SQL Injection等應用程式上之安全弱點,隨即進行惡意程式碼之植入。

  3. 『資料隱碼』(SQL Injection)不是只針對 SQL Server,而是只要使用SQL(Structure Query Language)語法來查詢及存取資料的資料庫包括自由原始碼Linux BASE都有被攻擊之可能。

  4. 網友造訪這些受駭的網站可能就會被駭客植入的惡意木馬程式利用轉址方式盗取個人資料,並被植入木馬程式到個人用戶端,請網友務必小心。

SQL(Structure Query Language)是指對包括自由原始碼Linux BASE等資料庫進行存取或查詢使用的資料查詢語言,因此『資料隱碼』(SQL Injection)的問題是所有使用SQL語法撰寫程式碼來存取或查詢資料庫內所存放之資料的任何資料庫都可能存在。台灣微軟在此呼籲網頁設計人員應了解網頁設計安全性規範並確實執行,為能有效的阻絕駭客利用『資料隱碼』方式入侵,微軟建議採取以下六項防範之道:1. 加強程式上的安全檢查措施;2. 妥善使用權限管理;3. 保持良好的程式開發習慣;4. 將核心程式碼隱藏起來;5. 以標準的訊息回覆給客戶;6. 刪除多餘的資料表(Table)。關於『資料隱碼』(SQL injection) 詳細的防範之道請參閱 http://www.microsoft.com/taiwan/sql/SQL_Injection.htm

此外,每個月台灣微軟都會定期發佈安全性公告及補充程式,這些補充程式是加強微軟產品,避免導致拒絕服務、遠端執行程式碼問題以及權限提高等傷害。因此台灣微軟也呼籲用戶,除了安裝防毒軟體外,平日定期使用「Windows Update 自動更新」功能隨時更新程式,將可能造成的不利影響降至最低。此外,台灣微軟也鼓勵用戶註冊免費的微軟電子報以獲得最新安全資訊。

申請微軟安全電子報的網站: http://www.microsoft.com/taiwan/newsletter/

有關 Microsoft Windows 惡意軟體移除工具的資訊,請參閱以下網址:http://go.microsoft.com/fwlink/?LinkId=40573