日盛證券網站發現 SQL Injection 漏洞,數億資料外洩

作者 | 發布日期 2016 年 03 月 04 日 11:06 | 分類 資訊安全 follow us in feedly
utility-hack

只要有電腦系統就有可能有漏洞,但是牽涉到金融相關的漏洞可就嚴重了。日前日盛證券網站系統發現 SQL Injection 漏洞,導致數億筆資料洩露,所幸已經回報,正等待日盛的資訊部門修復。




WooYun 資料顯示,日盛證券網站漏洞 2016 年 4 月 17 公開,3 月 3 日 15:57 回報。根據 iThome 報導,臺灣 HITCON Zero Day 漏洞通報平台窗口翁浩正表示,當天下午已經回報給日盛證券,並且獲得正面回應。

SQL Injection 為網路安全漏洞中,發生次數最多的漏洞。主要是在輸入 SQL 語法中,插入惡意的資料庫查詢語法,假若網站未檢查就執行惡意語法,造成資料庫系統的危害,甚至造成機敏資料大量外洩。

要預防 SQL Injection,在程式撰寫時採用完全參數化的設計,過濾使用者輸入內容。另外可以使用網頁弱點檢測程式檢查網站是否有漏洞。

發表迴響