日盛證券網站發現 SQL Injection 漏洞，數億資料外洩

只要有電腦系統就有可能有漏洞，但是牽涉到金融相關的漏洞可就嚴重了。日前日盛證券網站系統發現 SQL Injection 漏洞，導致數億筆資料洩露，所幸已經回報，正等待日盛的資訊部門修復。

WooYun 資料顯示，日盛證券網站漏洞 2016 年 4 月 17 公開，3 月 3 日 15:57 回報。根據 iThome 報導，臺灣 HITCON Zero Day 漏洞通報平台窗口翁浩正表示，當天下午已經回報給日盛證券，並且獲得正面回應。

SQL Injection 為網路安全漏洞中，發生次數最多的漏洞。主要是在輸入 SQL 語法中，插入惡意的資料庫查詢語法，假若網站未檢查就執行惡意語法，造成資料庫系統的危害，甚至造成機敏資料大量外洩。

要預防 SQL Injection，在程式撰寫時採用完全參數化的設計，過濾使用者輸入內容。另外可以使用網頁弱點檢測程式檢查網站是否有漏洞。