按Enter到主內容區
:::
常見問答
回首頁
首長信箱
網站導覽
緊急聯絡電話
English
A-
A
A+
您的瀏覽器不支援 JavaScript 或 JavaScript已停用
搜尋
起訴書
委任書
書狀聲請書
拍賣
您的瀏覽器不支援JavaScript語法,JavaScript語法並不影響內容的陳述。您可使用按鍵盤上的Ctrl鍵+ (+)鍵放大/(-)鍵縮小來改變字型大小;回到上一頁可使用瀏覽器提供的 Alt+左方向鍵(←) 快速鍵功能;列印可使用瀏覽器提供的(Ctrl+P)功能。
為民服務
為民服務白皮書
提昇服務品質執行計畫
服務躍升實施計畫
單一申辦窗口
線上申辦(須備憑證)
申辦各項作業說明
應訊須知
聯絡我們
檢察長信箱
犯罪被害補償事件殯葬費項目金額參考表
臺高檢特約通譯名冊
本署榮譽法醫師名冊
機關簡介
檢察長介紹
組織架構
管轄區域
歷史沿革
檢察業務介紹
導覽及聯絡資訊
交通資訊
地圖導覽
聯絡我們
廳舍配置
偵查庭配置圖
訴訟輔導
訴訟程序介紹及輔導
預約訴訟輔導(含律師諮詢)
書狀例稿下載
司法狀紙規則
多國通譯聲請書
政府資訊公開園地
本署保有個人資料檔案彙整表
內部控制制度
政府資訊公開服務導覽
法律與宣導文件
檔案應用
應主動公開政府資訊
公務出國專區
會計專區
預算書
決算書
會計報表
檢察業務統計
就業資訊
重大政策
行政院重大政策
法務部重大政策
雙語詞彙對照表
科室職稱對照表
刑法專有名詞對照表
刑事訴訟法專有名詞對照表
政策宣導廣告經費
本署施政計畫
公共設施維護管理
對民間團體及個人補(捐)助經費彙總表
性別主流化/性騷擾防治專區
法律宣導及教育
新修法規宣導
生活法律介紹 (法務部)
法學及法規資料檢索
法律扶助基金會
常見問題
電子公布欄
案件偵結公告
最新消息
最新活動訊息
統計園地
園地導覽
檢察統計
偵查
執行
司法保護
行政服務
廉政服務
為民服務
其他
專題分析
相關網站
廉政園地
廉政法令宣導
財產申報相關法規
公職人員利益衝突迴避法公告專區及相關法規
公務員廉政倫理規範
請託關說專區
桃園地區政風業務聯繫協調中心成果
公務機密維護宣導
機關安全維護宣導
檢舉管道
關懷醫療專區
相關網站連結
政府機關
教育機構
入口網站
法規相關
電子公文附件區
司法保護專區
觀護制度
修復式司法
司法志工
觀護協進會
更生保護會
犯罪被害人保護協會
大學校院在學學生實習觀護工作
毒品戒癮治療專區
社會勞動專區
緩起訴處分金專區
緩起訴處分金暨認罪協商金運用相關法規
申請審查作業專區
支用查核作業專區
處分金歷史專區
犯罪預防
兒童及少年犯罪預防
反賄選專區
檢舉賄選管道
反賄選Q&A
反賄選宣導素材
宣導活動
相關法令宣導
:::
首頁
廉政園地
廉政法令宣導
公務機密維護宣導
如何防範資料庫遭隱碼攻擊
回上一頁
友善列印
發布日期:
105-07-04
最後更新日期:108-01-02
資料點閱次數:1318
一個美國男子把自己的姓改為Null,就可以免費租車、免費住旅館,這麼「好」的事情,是電腦誤判,還是人為疏失?最近有一則新聞曝光度很高,一直在Facebook 上被人轉貼,話說一位美國男子,把自己的姓改成Null,不但可以免費租了2 次車,還免費住了7 次旅館,甚至於去治療牙齒也不用付錢,因為他的姓會讓電腦誤判,而通過驗證。 科技新貴小潘也看到了這則新聞,想到自己的公司最近正在投入跨境電商的業務,如果使用者能把自己的名字改成特定字,就可以進入資料庫,對於未來自己的電商系統的資料安全,豈不是一大風險。於是,小潘決定利用清明假期中的師生下午茶約會,把這個問題提出來,看看有沒有什麼方法解決。司馬特老師喝口咖啡,先針對這個事件發生的可能性進行剖析。 一般的管理資訊系統一定會有資料庫來儲存資料, 資料庫都有結構化的查詢語言(Structural Query Language, SQL),提供程式開發人員運用它的指令做資料查詢之用,當資料庫設計有缺陷時,就可能會有安全漏洞發生在應用程式的資料庫內層,如果漏洞在系統做弱點偵側時沒有被發現,就有可能在未來系統上線後,遭到有心人士的入侵。 除了國外的這個案例之外,無獨有偶地, 國內近期也有相關的報導發生, 像2015年底就有傳出戶政事務所的系統有4 處SQLInjection 漏洞,2016 年4 月日盛證券的網站系統也發現SQL Injection 漏洞,導致數億筆資料可能洩漏。 這些事件都是有心人士利用資料庫的安全漏洞,在輸入的字串中夾帶SQL 指令,當系統的程式疏忽沒有檢查時,這些被夾帶的指令就會被資料庫伺服器誤認為是正常的SQL指令而被執行,系統就遭到入侵或破壞,也就是大家所習稱的SQL Injection,中文又稱為隱碼攻擊。 小潘趁著司馬特老師喝咖啡的空檔,抓到機會趕快問:一旦系統遭到隱碼攻擊,會有什麼後果?司馬特老師接著解釋,系統遭到隱碼攻擊,輕者可能會造成資料表中的資料外洩,像客戶資料、密碼…等。也可能會在攻擊中取得資料庫結構或管理員的帳號,足以日後再對資料庫做下一波的攻擊。嚴重者,駭客在取得較高的系統權限後,可以在網頁中加入惡意連結,也可以修改或控制作業系統,甚至於破壞硬碟、癱瘓整個系統。 小潘聽到這裏,對隱碼攻擊已經有了個初步的概念,但是應該要怎麼防範呢?司馬特老師說一般人會以為隱碼攻擊只會針對微軟的SQL Server 做攻擊,其實不然,只要是支援SQL 指令的資料庫伺服器,都有可能會遭到隱碼攻擊。 因此,為防範系統遭到隱碼攻擊,首先在應用程式要存取資料庫時,就要設下第一道防線,把系統的使用者與管理者的權限分開,對於應用系統的使用者,不要賦予可以建立、修改、刪除資料庫的權限,以減少隱碼攻擊帶來的損害。 其次,要加強對使用者輸入資料的內容做檢核、驗證,可以利用現有的內容驗證工具或建立一些驗證規則,針對使用者輸入一些特殊的字元,先行過濾掉,讓那些惡意攻擊的SQL 語法無法執行。 除了對使用者設限外,系統設計時也要配合隱碼攻擊做防護,以往程式設計都習慣使用動態字串結合的方式,來組成查詢語法,無形中提供了駭客一個舞台,如果使用者輸入的查詢變數,不要直接放到SQL 查詢語法中,而是改成參數來傳遞,或者是使用SQLServer 內建的安全參數,也可以避免駭客輸入攻擊語法。 目前很多網站的架設,都是採用3-tier 或N-tier 的架構,因此,在每一tier 上的驗證就很重要,系統的設計不能只在最外層驗證成功,就讓使用者可以長驅直入,為了避免隱碼攻擊,每一tier 都應該要做驗證,驗證不通過就要立刻採取行動,才不會讓駭客輕易的入侵。 最後,要運用弱點掃描工具來協助系統開發人員,有效的發掘可能造成隱碼攻擊的漏洞,適時的加以修復,如果系統開發人員、資料庫管理人員及資安人員能夠資安漏洞事前防範,駭客就不易侵入。 這個月的師生下午茶約會,就在華燈初上伴隨著濃濃的焦糖瑪琪朶香味中,漸漸進入尾聲,小潘聽了司馬特老師的說明,心想著等上班後,一定要對自己的系統先做個弱點掃描,了解那裏有漏洞,趕快來補強,以免日後不知不覺中遭到隱碼攻擊,造成不可彌補的損害。 摘自法務部調查局105年5月清流月刊
收合
為民服務
為民服務白皮書
提昇服務品質執行計畫
服務躍升實施計畫
單一申辦窗口
線上申辦(須備憑證)
申辦各項作業說明
應訊須知
聯絡我們
檢察長信箱
犯罪被害補償事件殯葬費項目金額參考表
臺高檢特約通譯名冊
本署榮譽法醫師名冊
機關簡介
檢察長介紹
組織架構
管轄區域
歷史沿革
檢察業務介紹
導覽及聯絡資訊
交通資訊
地圖導覽
聯絡我們
廳舍配置
偵查庭配置圖
訴訟輔導
訴訟程序介紹及輔導
預約訴訟輔導(含律師諮詢)
書狀例稿下載
司法狀紙規則
多國通譯聲請書
政府資訊公開園地
本署保有個人資料檔案彙整表
內部控制制度
政府資訊公開服務導覽
法律與宣導文件
檔案應用
應主動公開政府資訊
公務出國專區
會計專區
檢察業務統計
就業資訊
重大政策
雙語詞彙對照表
政策宣導廣告經費
本署施政計畫
公共設施維護管理
對民間團體及個人補(捐)助經費彙總表
性別主流化/性騷擾防治專區
法律宣導及教育
新修法規宣導
生活法律介紹 (法務部)
法學及法規資料檢索
法律扶助基金會
常見問題
電子公布欄
案件偵結公告
最新消息
最新活動訊息
統計園地
園地導覽
檢察統計
行政服務
專題分析
相關網站
廉政園地
廉政法令宣導
檢舉管道
關懷醫療專區
相關網站連結
政府機關
教育機構
入口網站
法規相關
電子公文附件區
司法保護專區
觀護制度
修復式司法
司法志工
觀護協進會
更生保護會
犯罪被害人保護協會
大學校院在學學生實習觀護工作
毒品戒癮治療專區
社會勞動專區
緩起訴處分金專區
緩起訴處分金暨認罪協商金運用相關法規
申請審查作業專區
支用查核作業專區
處分金歷史專區
犯罪預防
兒童及少年犯罪預防
反賄選專區
回頁首