http://tech.chinatimes.com/2007Cti/2007Cti-News/Inc/2007cti-news-Tech-inc/Tech-Content/0,4703,130509+132007112601068,00.html
避免企業個資外洩 加強防範SQL injection
今日晚報 2007.11.26 中廣新聞/張德厚

    東森購物、博客來網路書店以及拍賣網站,都陸續傳出詐騙集團利用客戶交易資料進行詐騙的情事,資安專家呼籲,企業應該加強網站的資安防護,尤其要防範駭客以「資料隱碼」的方式,由企業的網站漏洞入侵資料庫。

    資安專家表示,一般交易個資外洩主要是從兩個管道,一個是用戶端的電腦遭到了駭客以木馬程式入侵,個人的帳號密碼遭到側錄後,詐騙集團再以消費者的帳號密碼登入網站的個人帳戶,取得完整的消費訊息來進行詐騙,目前許多個案都是以此方式來進行。而如果是大規模的個資外洩,則有可能是駭客以SQL injection(資料隱碼)的手法,從企業網站的漏洞入侵資料庫。

    賽門鐵克系統工程師王碩麒說,入侵之後如果可以得到管理員的權限,駭客就可直接進去看所以的資料。

    資安專家指出,根據觀察有七、八成的企業資料庫被入侵,駭客都是利用SQL injection的手法,而入侵之後,往往一時間也難以發現,目前還有許多企業都缺乏這方面的觀念,呼籲資訊人員應加強學習相關的防範措施。

    法務部調查局電腦犯罪偵辦科調查員錢世傑表示,譬如說,他去做一些程式的過濾,或是管理上的設定,不能讓你輸入一些奇怪的語言文字,例如逗號、頓號等特殊的符號,那這些特別的符號就是SQL injection的關鍵字,把它鎖住,就可以達到一定的功能。
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 jason0936 的頭像
    jason0936

    J漾諸事會社

    jason0936 發表在 痞客邦 留言(0) 人氣()