在資安事件中,常常聽到客戶資料遭外洩,這時大家就會想說,是不是 Web Server 或公司內部電腦是否有木馬病毒入侵,但是並不是什麼案件都是被植入執行程式,而是利用SQL語法的盲點或該網站漏洞進行攻擊,有些企業尤其是電商,對資安概念較不注重,前台資料送往後台時沒做一些字串過濾與篩檢直接跟資料庫溝通,導致資料庫回傳出不該傳的資料出現,好比客戶名單或非正常登入後台,我用SQLite簡單展示SQL語法盲點,我們先看 DB Table:
接下來用正常 SQL 語法去做 Select
那我用 SQL 註解符號去繞過 password 判別,一樣可以成功
接下來 Select 該 Table 底下所有資料非正常語法
Table 底下所有名單就被顯示出來了,這範例是在演示網站在輸入帳號密碼的欄位裡,給予SQL語法看該網站會不會吐出不該出現的重要資訊,要是出現了客戶資訊就可能這樣被撈走。
這只是概念展示,實際上的網站並不會這麼單純簡單,但滲透進去的語法很多種,駭客們都會一直嘗試直到打進去為止。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
文章標籤
全站熱搜
