避免企業個資外洩 加強防範SQL injectionhttp://tw.rd.yahoo.com/referurl/new...10n28ai03/*[url
更新日期:2007/11/26 13:00
東森購物、博客來網路書店以及拍賣網站,都陸續傳出詐騙集團利用客戶交易資料進行詐騙的情事,資安專家呼籲,企業應該加強網站的資安防護,尤其要防範駭客以「資料隱碼」的方式,由企業的網站漏洞入侵資料庫。
(張德厚報導)
資安專家表示,一般交易個資外洩主要是從兩個管道,一個是用戶端的電腦遭到了駭客以木馬程式入侵,個人的帳號密碼遭到側錄後,詐騙集團再以消費者的帳號密碼登入網站的個人帳戶,取得完整的消費訊息來進行詐騙,目前許多個案都是以此方式來進行。而如果是大規模的個資外洩,則有可能是駭客以SQL injection(資料隱碼)的手法,從企業網站的漏洞入侵資料庫。賽門鐵克系統工程師王碩麒:『入侵之後如果可以得到管理員的權限,駭客就可直接進去看所以的資料。』
資安專家指出,根據觀察有七、八成的企業資料庫被入侵,駭客都是利用SQL injection的手法,而入侵之後,往往一時間也難以發現,目前還有許多企業都缺乏這方面的觀念,呼籲資訊人員應加強學習相關的防範措施。法務部調查局電腦犯罪偵辦科調查員錢世傑:『譬如說,他去做一些程式的過濾,或是管理上的設定,不能讓你輸入一些奇怪的語言文字,例如逗號、頓號等特殊的符號,那這些特別的符號就是SQL injection的關鍵字,把它鎖住,就可以達到一定的功能。』
