本Blog主要以紀錄小編工作上所遇到的點點滴滴,所收錄之文章來至各大媒體及Blog,幾乎皆非原創文章,僅提供小編本人進行記錄方便資料查找,並會註明出觸及連結,如有任何疑義請來信告知,謝謝!
2013年5月5日 星期日
Yahoo奇摩緊急修補搜便利網站SQL Injection漏洞
Yahoo奇摩緊急修補搜便利網站SQL Injection漏洞
資安專家揭露Yahoo奇摩搜便利網站有SQL Injection漏洞,Yahoo奇摩也緊急完成修補
Yahoo奇摩的關鍵字廣告搜便利網站在2月底被發現有SQL Injection漏洞,駭客可遠端操控SCID參數,植入特殊的SQL指令,破壞資料庫應用程式。
Yahoo奇摩的關鍵字廣告搜便利網站,在今年2月24日被埃及資安專家發現有SQL Injection漏洞,並立即回報給Yahoo,根據該名專家在網站上的更新,Yahoo也已在4月1日時,發布更新檔緊急修補此漏洞。不過,Yahoo奇摩表示,接獲通知後即完成漏洞修補。
該漏洞是位在Yahoo奇摩關鍵字廣告搜便利網站index.php這個頁面,搜便利網站不同於Yahoo奇摩的關鍵字系統,類似廣告黃頁平臺,開放讓各商家自行上傳相關資訊。
Yahoo奇摩書面回覆表示,這次的問題與Yahoo奇摩關鍵字廣告系統本身並無關聯,而是和Yahoo奇摩提供商家刊登廣告資訊的搜便利服務網頁的參數處理問題,Yahoo奇摩已經在第一時間修正,且該網頁皆為公開資訊,並無資料外洩疑慮。Yahoo奇摩也會持續對內部員工與外包廠商進行相關安全規範的教育訓練,以及強化程式上線的審核。
駭客可利用這個漏洞,遠端操控SCID參數,並植入特殊的SQL指令,透過時間的延遲來判斷SQL指令是否執行成功,成功的話就會破壞資料庫應用程式,產生資料外洩的風險。
這種利用時間差的方式,屬於SQL Injection攻擊中的一種技巧,稱之為SQL Blind Injection。駭客無需取得使用者的帳號密碼就可以進行攻擊,也因此,該名資安專家將此漏洞列為高風險等級。
企業對外服務需要使用資料庫,除非不使用SQL指令,否則就會有遭受SQL Injection攻擊的風險,駭客甚至會以機器人程式發動大量的SQL Injection攻擊(Mass SQL Injection)。
負責研議網路軟體安全標準、工具與文件的開放網路軟體安全計畫(Open Web Application Security Project,OWASP),每隔幾年會發布10大網路應用系統安全漏洞,在2010年與2013年所發布的報告中,Injection類型的攻擊都位於榜首,連國際知名的Yahoo奇摩都有這類的資安問題,顯見企業必須更重視此項安全議題。
轉載自《iThome》
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言