2013年5月5日 星期日

Yahoo奇摩緊急修補搜便利網站SQL Injection漏洞


Yahoo奇摩緊急修補搜便利網站SQL Injection漏洞

資安專家揭露Yahoo奇摩搜便利網站有SQL Injection漏洞,Yahoo奇摩也緊急完成修補


Yahoo奇摩的關鍵字廣告搜便利網站在2月底被發現有SQL Injection漏洞,駭客可遠端操控SCID參數,植入特殊的SQL指令,破壞資料庫應用程式。

Yahoo奇摩的關鍵字廣告搜便利網站,在今年2月24日被埃及資安專家發現有SQL Injection漏洞,並立即回報給Yahoo,根據該名專家在網站上的更新,Yahoo也已在4月1日時,發布更新檔緊急修補此漏洞。不過,Yahoo奇摩表示,接獲通知後即完成漏洞修補。

該漏洞是位在Yahoo奇摩關鍵字廣告搜便利網站index.php這個頁面,搜便利網站不同於Yahoo奇摩的關鍵字系統,類似廣告黃頁平臺,開放讓各商家自行上傳相關資訊。

Yahoo奇摩書面回覆表示,這次的問題與Yahoo奇摩關鍵字廣告系統本身並無關聯,而是和Yahoo奇摩提供商家刊登廣告資訊的搜便利服務網頁的參數處理問題,Yahoo奇摩已經在第一時間修正,且該網頁皆為公開資訊,並無資料外洩疑慮。Yahoo奇摩也會持續對內部員工與外包廠商進行相關安全規範的教育訓練,以及強化程式上線的審核。

駭客可利用這個漏洞,遠端操控SCID參數,並植入特殊的SQL指令,透過時間的延遲來判斷SQL指令是否執行成功,成功的話就會破壞資料庫應用程式,產生資料外洩的風險。

這種利用時間差的方式,屬於SQL Injection攻擊中的一種技巧,稱之為SQL Blind Injection。駭客無需取得使用者的帳號密碼就可以進行攻擊,也因此,該名資安專家將此漏洞列為高風險等級。

企業對外服務需要使用資料庫,除非不使用SQL指令,否則就會有遭受SQL Injection攻擊的風險,駭客甚至會以機器人程式發動大量的SQL Injection攻擊(Mass SQL Injection)。

負責研議網路軟體安全標準、工具與文件的開放網路軟體安全計畫(Open Web Application Security Project,OWASP),每隔幾年會發布10大網路應用系統安全漏洞,在2010年與2013年所發布的報告中,Injection類型的攻擊都位於榜首,連國際知名的Yahoo奇摩都有這類的資安問題,顯見企業必須更重視此項安全議題。

轉載自《iThome》