日盛證券網站發現 SQL Injection 漏洞,數億資料外洩 |
作者
陳 瑞霖 |
發布日期
2016 年 03 月 04 日 11:06 |
分類
資訊安全
|
只要有電腦系統就有可能有漏洞,但是牽涉到金融相關的漏洞可就嚴重了。日前日盛證券網站系統發現 SQL Injection 漏洞,導致數億筆資料洩露,所幸已經回報,正等待日盛的資訊部門修復。
WooYun 資料顯示,日盛證券網站漏洞 2016 年 4 月 17 公開,3 月 3 日 15:57 回報。根據 iThome 報導,臺灣 HITCON Zero Day 漏洞通報平台窗口翁浩正表示,當天下午已經回報給日盛證券,並且獲得正面回應。
SQL Injection 為網路安全漏洞中,發生次數最多的漏洞。主要是在輸入 SQL 語法中,插入惡意的資料庫查詢語法,假若網站未檢查就執行惡意語法,造成資料庫系統的危害,甚至造成機敏資料大量外洩。
要預防 SQL Injection,在程式撰寫時採用完全參數化的設計,過濾使用者輸入內容。另外可以使用網頁弱點檢測程式檢查網站是否有漏洞。
臺灣團隊勇奪全球駭客大賽第二名 
電腦踢館 14 國駭客!趨勢科技帶你看 DEF CON 2016 重點:「自動化找漏洞系統」 
