【大纪元5月26日讯】(台湾微软新闻稿)日前已知包括全球知名公益网站等十二万个中文网页遭骇客入侵,导致善心人士个人资料遭不法利用,为防止攻击事件及范围扩大,台湾微软公司提醒所有的企业及客户务必正视此一问题,并建议网页开发人员参重新检视网页程式码,以预防此类攻击。
此次骇客攻击手法并非透过病毒及一般攻击手段,也不是利用任何Internet Information Services或Microsoft SQL Server新的或已知的安全漏洞,而是利用‘资料隐码’(SQL Injection)来输入具破坏性的程式码,只要网页设计者在撰写网页程式时,未确实遵照安全规范就有可能遭受攻击,此类攻击手法是现阶段的任何防火墙或是防骇客系统非常难以防范的。因此,防止利用‘资料隐码’(SQL Injection)植入恶意程式码的根本解决之道,需由网页开发安全程式码着手,唯有建立起良好的程式开发风格与习惯,方能阻挡此类的攻击事件。‘资料隐码’(SQL Injection)不是只针对 SQL Server,只要使用SQL Injection语法来查询及存取资料的资料库包括自由原始码Linux BASE、都有遭受攻击的可能:
1. 此次攻击系属于同波攻击的第二种变形,影响范围不局限于亚洲区与特定类型网站。
2. 该波攻击的型态主要分成两部分进行,首先骇客采用多种骇客工具针对网站上之应用程式扫描,待发现具有Cross Site Scripting、‘资料隐码’SQL Injection、Blind SQL Injection等应用程式上之安全弱点,随即进行恶意程式码之植入。
3. ‘资料隐码’(SQL Injection)不是只针对 SQL Server,而是只要使用SQL(Structure Query Language)语法来查询及存取资料的资料库包括自由原始码Linux BASE都有被攻击之可能。
4. 网友造访这些受骇的网站可能就会被骇客植入的恶意木马程式利用转址方式盗取个人资料,并被植入木马程式到个人用户端,请网友务必小心。
SQL(Structure Query Language)是指对包括自由原始码Linux BASE等资料库进行存取或查询使用的资料查询语言,因此‘资料隐码’(SQL Injection)的问题是所有使用SQL语法撰写程式码来存取或查询资料库内所存放之资料的任何资料库都可能存在。台湾微软在此呼吁网页设计人员应了解网页设计安全性规范并确实执行,为能有效的阻绝骇客利用‘资料隐码’方式入侵,微软建议采取以下六项防范之道:1. 加强程式上的安全检查措施;2. 妥善使用权限管理;3. 保持良好的程式开发习惯;4. 将核心程式码隐藏起来;5. 以标准的讯息回复给客户;6. 删除多余的资料表(Table)。关于‘资料隐码’(SQL injection) 详细的防范之道请参阅 http://www.microsoft.com/taiwan/sql/SQL_Injection.htm。
此外,每个月台湾微软都会定期发布安全性公告及补充程式,这些补充程式是加强微软产品,避免导致拒绝服务、远端执行程式码问题以及权限提高等伤害。因此台湾微软也呼吁用户,除了安装防毒软体外,平日定期使用“Windows Update 自动更新”功能随时更新程式,将可能造成的不利影响降至最低。此外,台湾微软也鼓励用户注册免费的微软电子报以获得最新安全资讯。
申请微软安全电子报的网站: http://www.microsoft.com/taiwan/newsletter/
有关 Microsoft Windows 恶意软体移除工具的资讯,请参阅以下网址: http://go.microsoft.com/fwlink/?LinkId=40573
(http://www.dajiyuan.com)
