:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
利用IIS /MS-Sql /Asp 所建構的網站可能含有造成SQL Injection 的弱點,請多加留意!(2008/05/30)
 
詳細描述:
本通告所提到的弱點是因為亞洲地區(Taiwan ,China ,Singapore ,Hongkong...) 部份利用IIS /MSSQL /Asp 所建構的華文網站未針對程式碼進行完整驗證,而容易造成資料隱碼攻擊(SQL Injection)。

惡意人士可以利用SQL Injection 的方式在正常的網站插入惡意程式碼(如iFrame 或javascript) ,若有瀏覽器或相關應用程式(如Adobe Flash 、RealPlayer 或暴風影音Storm Codec ...等)弱點未修補的使用者瀏覽到受駭網站時,惡意人士便能夠把使用者的連線請求重導到其他網站下載惡意檔案,並在受駭主機上植入木馬程式,或竊取個人帳號密碼等機敏資料。

目前確認會受到影響的版本為Adobe Flash 9.0.115.0 ,Adobe Flash 9.0.124 則不受此弱點影響,目前網路上已發現相關攻擊程式,中華電信SOC 在此建議管理者應檢查IIS Access Log 是否含有如DECLARE @T varchar ''@C varchar 、varchar 、''%20and%20char 等SQL Injection攻擊關鍵字,並儘速完成所有程式碼的SQL Injection 漏洞修正檢查。建議用戶端應儘速針對上述應用程式進行弱點修補,以及安裝防毒防駭軟體,將可有效降低受駭風險。

參考資料:

 
 
下框