跳到主要內容區塊
2022-2023P.League+桃園璞園領航猿主場例行賽於111年12月10日至112年4月14日於桃園市立體育館舉辦。活動資訊請至http://www.dst.tycg.gov.tw查詢」。 2023dodo桃園國際馬拉松於112年4月15日在新屋海螺文化體驗園區開跑!歡迎踴躍參加,活動資訊請至https://www.bao-ming.com/eb/content/5267#25638查詢」。 企業排球聯賽在桃園!歡迎市民朋友踴躍到場觀賽,詳情請至活動官網:「https://www.nahrin.com.tw/news_detail/29」。 本府地方稅務局舉辦「租稅小學堂.等你來挑戰」網路有獎徵答活動,參加對象:本市所屬各公(私)立國中、國小學生及全國民眾。詳情請至活動網站:「https://reurl.cc/de0gQz」。 本府文化局舉辦「2022桃園社造博覽會」活動,為追求社造眾生共好的理想,展顯桃園各地的社造夥伴在自己的地方努力深耕的成果,詳情請至活動網站:「https://www.facebook.com/tycdc/」。 本市政府家庭教育中心舉辦「牽手做父母、和樂共親職活動9/4(日)、10/22(六)開放報名」,詳情請至家庭教育中心官網查詢。 桃園市可透視垃圾袋政策宣導期延長至112年2月28日,請民眾配合使用可辨識垃圾內容物垃圾袋,並落實資源回收分類。 預防登革熱,民眾如出現發燒、頭痛、後眼窩痛、肌肉關節痛、出疹等疑似症狀,請儘速就醫,以利早期診斷及治療,相關疑問請撥打免付費1922防疫專線。 預防登革熱 流行杜絕病媒蚊孳生 請每週清除積水容器。 巡、倒、清、刷清除容器 減少病媒蚊。 社區防疫升級!請做好個人安全防護,非必要避免出入人流複雜、大量聚集場所,桃園市政府關心您。 社區防疫升級!活動以室內500人、戶外1000人為限,並隨時滾動調整,請保持社交距離,桃園市政府提醒您。 社區防疫升級!出入八大類場所應佩戴口罩,市府將加強稽查與勸導,桃園市政府提醒您。 電子菸無法戒菸,反而傷身又傷心 【消費糾紛要申訴,1950專線要牢記】 【網路交易陷阱多,慎選商家少糾紛~】 節水抗旱全民一起來 排水計畫分2階,審查流程搞懂了沒!? 【公務人員應與時俱進充實專業職能,提供優質服務~考試院公務人員保障暨培訓委員會~】 【行政中立,全民得益;依法行政,公平公正!考試院公務人員保障暨培訓委員會提醒您。】 【性別無歧視,權益無差別】 【下載APP「水情看桃園」哪裡淹水報你知~】 【腸病毒流行 勤洗手 常消毒 生病速就醫】
友善列印   連結至桃園OpenAPI網站   張貼至「Facebook」   張貼至「Plurk」   張貼至「Twitter」 字級:

公務機密維護宣導

110年5月-如何防範資料庫遭隱碼攻擊
發布單位:
政風室
分  類:
公務機密維護宣導
發布日期:
110-05-10
詳細內容:
一個美國男子把自己的姓改為Null,就可以免費租車、免費住旅館,這麼「好」的事情,是電腦誤判,還是人為疏失?
    最近有一則新聞曝光度很高,一直在Facebook上被人轉貼,話說一位美國男子,把自己的姓改成Null,不但可以免費租了2次車,還免費住了7次旅館,甚至於去治療牙齒也不用付錢,因為他的姓會讓電腦誤判,而通過驗證。
    科技新貴小潘也看到了這則新聞,想到自己的公司最近正在投入跨境電商的業務,如果使用者能把自己的名字改成特定字,就可以進入資料庫,對於未來自己的電商系統的資料安全,豈不是一大風險。於是,小潘決定利用清明假期中的師生下午茶約會,把這個問題提出來,看看有沒有什麼方法解決。司馬特老師喝口咖啡,先針對這個事件發生的可能性進行剖析。
    一般的管理資訊系統一定會有資料庫來儲存資料,資料庫都有結構化的查詢語言(Structural Query Language,SQL),提供程式開發人員運用它的指令做資料查詢之用,當資料庫設計有缺陷時,就可能會有安全漏洞發生在應用程式的資料庫內層,如果漏洞在系統做弱點偵側時沒有被發現,就有可能在未來系統上線後,遭到有心人士的入侵。
    除了國外的這個案例之外,無獨有偶地,國內近期也有相關的報導發生,像2015年底就有傳出戶政事務所的系統有4處SQL Injection漏洞,2016年4月日盛證券的網站系統也發現SQL Injection漏洞,導致數億筆資料可能洩漏。
    這些事件都是有心人士利用資料庫的安全漏洞,在輸入的字串中夾帶SQL指令,當系統的程式疏忽沒有檢查時,這些被夾帶的指令就會被資料庫伺服器誤認為是正常的SQL指令而被執行,系統就遭到入侵或破壞,也就是大家所習稱的SQL Injection,中文又稱為隱碼攻擊。
    小潘趁著司馬特老師喝咖啡的空檔,抓到機會趕快問:一旦系統遭到隱碼攻擊,會有什麼後果?司馬特老師接著解釋,系統遭到隱碼攻擊,輕者可能會造成資料表中的資料外洩,像客戶資料、密碼…等。也可能會在攻擊中取得資料庫結構或管理員的帳號,足以日後再對資料庫做下一波的攻擊。嚴重者,駭客在取得較高的系統權限後,可以在網頁中加入惡意連結,也可以修改或控制作業系統,甚至於破壞硬碟、癱瘓整個系統。
    小潘聽到這裏,對隱碼攻擊已經有了個初步的概念,但是應該要怎麼防範呢?司馬特老師說一般人會以為隱碼攻擊只會針對微軟的SQL Server做攻擊,其實不然,只要是支援SQL指令的資料庫伺服器,都有可能會遭到隱碼攻擊。
    因此,為防範系統遭到隱碼攻擊,首先在應用程式要存取資料庫時,就要設下第一道防線,把系統的使用者與管理者的權限分開,對於應用系統的使用者,不要賦予可以建立、修改、刪除資料庫的權限,以減少隱碼攻擊帶來的損害。
  

其次,要加強對使用者輸入資料的內容做檢核、驗證,可以利用現有的內容驗證工具或建立一些驗證規則,針對使用者輸入一些特殊的字元,先行過濾掉,讓那些惡意攻擊的SQL語法無法執行。
    除了對使用者設限外,系統設計時也要配合隱碼攻擊做防護,以往程式設計都習慣使用動態字串結合的方式,來組成查詢語法,無形中提供了駭客一個舞台,如果使用者輸入的查詢變數,不要直接放到SQL查詢語法中,而是改成參數來傳遞,或者是使用SQL Server內建的安全參數,也可以避免駭客輸入攻擊語法。
    目前很多網站的架設,都是採用3-tier或N-tier的架構,因此,在每一tier上的驗證就很重要,系統的設計不能只在最外層驗證成功,就讓使用者可以長驅直入,為了避免隱碼攻擊,每一tier都應該要做驗證,驗證不通過就要立刻採取行動,才不會讓駭客輕易的入侵。
    最後,要運用弱點掃描工具來協助系統開發人員,有效的發掘可能造成隱碼攻擊的漏洞,適時的加以修復,如果系統開發人員、資料庫管理人員及資安人員能夠對資安漏洞事前防範,駭客就不易侵入。
    這個月的師生下午茶約會,就在華燈初上伴隨著濃濃的焦糖瑪琪朶香味中,漸漸進入尾聲,小潘聽了司馬特老師的說明,心想著等上班後,一定要對自己的系統先做個弱點掃描,了解那裏有漏洞,趕快來補強,以免日後不知不覺中遭到隱碼攻擊,造成不可彌補的損害。


資料來源:作者◎科技大學資訊管理系講師魯明德
<本文摘自清流雙月刊105年5號>
最後更新日期:110-05-10
瀏覽人次:306 人
回上頁 回首頁 TOP
隱私權政策 - 網站安全政策 - 資訊宣告 -   瀏覽人次:240396人