SQL Injection復興之路 黑客一次攻擊、四大回報 網絡連線速度愈來愈快,而存取網站的設備亦變得更大眾化及相宜,加上地域性問題,網上業務擁有無限商機;這亦為黑客帶來了全新的業務模式,就是先前曾介紹過的「攻擊即服務 (Attack As a Services – AAaS.)」。這些攻擊業務非常多元化,由最本的垃圾廣告散佈到大型 DDoS 攻擊。這些服務供應商擁有完善的行業生態系統,例如地下黑市、黑客工具生命週期管理,更甚者亦提供 SLA (Service Level Agreement),保證攻擊服務不中斷。 在這裡向大家分享一下最近有復興跡象的黑客攻擊業務,那就是 SQL Injection。以往 SQL Injection曾經是很多獨立黑客的攻擊手段,直到現時仍是;不過以服務形式提供的卻不多,事關 SQL Injection並不能像 DDoS 般幾乎可全自動化,因為共需通過於輸入欄位輸入一些能誤導語法執行的語法,而這往往需要與時並進,亦即是說需要黑客親自臨場指揮。 由於此攻擊自動化效果差,加上 SQL Injection 的最大目的是偷取目標網站資料為主,目標價值愈高,收費自然愈昂貴;由於利潤大,進行 SQL Injection 的收入提高;加上黑客更可藉由替客户進行 SQL Injection 的期間同時將所收集到的資料進行複制,並率先將資料賣出,一方便賺取金主的資金,同時更可取得有價值資料,更甚者亦可比金主快一步,將資料以合法手段銷售出去!例如替客户發送 EDM,又或者直接建立一個專門銷售電郵名單的網站(外國有很多這類網站),試問如此一石四鳥的賺錢方法,黑客們又怎捨得忘記 SQL Injection 呢? 甚麼是 SQL Injection? 那究竟甚麼是SQL Injection 呢?以下將會不提及程式部份簡單介入:首先就以購物平台作例子,當用户在進行搜尋工作時(或一些輸入文字的動作)時,如果你希望的話,所輸入的資料可成為 SQL 搜尋語法,流程如下: 1. 用户輸入欄位輸入搜尋關鍵字,例如是會員名稱。 2. 按下確認後,資料會先比對一些程式預設的條件,如果條件符合便會進行下一步驟。最常見的就是比對用户輸入的資料格式是否正確。 3. 接著用户所輸入的將會被執行。 關鍵之處在步驟 2。有些較舊式的網上平台,在編程時可能仍未有現在如此複雜的網頁語言/或編寫時仍未有某些新式的攻擊方法,因此在禁止用户輸入資料的條件上,可能仍存在一些編程上的漏洞,以致黑客能於輸入欄位輸入了一些符號,而這些符號將能直接影響數據庫的搜尋動作。 […]