小心SQL Injection機器人

SQL Injection（資料隱碼）一直是令人頭痛的問題，這個利用SQL指令語法注入隱藏程式碼的攻擊手法，在2001年就開始出現，但今日SQL Injection仍是網站的一大威脅。

即使教導防禦SQL Injection的資訊唾手可得，但許多網站至今仍存在SQL Injection漏洞。在上個禮拜發生的一波大量Mass SQL Injection攻擊之中，臺灣有許多網站就遭受攻擊，被植入惡意程式的連結。

這種短時間內造成大量攻擊的手法，可說是SQL Injection攻擊的進化版，改變了以往我們對於這類攻擊的認知。

資安專家的追蹤分析發現，駭客是先利用自動程式，以Google搜尋引擎，快速地找尋有SQL Injection漏洞的網站伺服器，一旦找到攻擊標的，就利用SQL指令語法，把惡意連結寫入資料庫欄位中，這個連結則指向惡意網站的Java Script。

駭客直接在資料庫欄位中植入惡意連結的作法，是比起以往在網頁中植入惡意連結的方法，來得更快更有效率；以前的攻擊效率不夠高，只能在特定的網頁中植入惡意連結，像是網站的首頁，但現在直接把惡意連結寫入資料庫欄位中，幾乎可說受害網站中的多數網頁都會含有惡意連結。

在這次Mass SQL Injection攻擊中，駭客第一波攻擊網站伺服器的目的，是要先建立一批毒窟網站，藉由這些網站去感染更多的電腦，為下一波的攻擊布椿。因為個人電腦一旦瀏覽了這些受害網站的網頁，隱藏在網頁中的Script就會在背地裏連結惡意網站的Java Script，執行自動下載且安裝能夠控制電腦的惡意程式，像是木馬程式、後門程式之類。

然而，這些惡意程式要怎麼鑽進電腦裏呢？駭客的第二波攻擊所利用的手法，也是以往較為罕見的。以前駭客常利用作業系統的漏洞來攻擊，但近來像是Windows作業系統的漏洞修補，都已經透過Windows Update做到更為即時的修補，駭客要鑽作業系統漏洞，成功的機會越來越低，因而駭客這次瞄準絕大多數電腦都會安裝的Adobe Flash播放器的漏洞。這麼做就是看準大家忽略一般應用程式的漏洞修補，以及這些應用程式目前仍缺乏像Windows Update這樣即時的程式更新機制。

一旦個人電腦被駭客利用Flash漏洞而入侵成功，成為駭客的囊中物，就是駭客日後可以用來發動其他攻擊的傀儡電腦之一。駭客可以利用這些傀儡電腦來謀利，像是竊取電腦裏的個人資料與機密資料，或是利用這些電腦來攻擊特定對象，造成大規模的DDoS攻擊，以癱瘓特定的網站或網路。

從這次的攻擊事件來看，SQL Injection已經發展為自動化的機器人攻擊模式了，然而目前仍只是看到雛型，資安專家預期下一波攻擊的出現後，駭客的自動化攻擊機制就會更為明確。

對於SQL Injection機器人的來襲，企業需要注意的是，SQL Injection的攻擊已經不再是以往我們所認知的手工攻擊手法，在自動化的SQL Injection機器人攻擊之下，不是只有知名網站才會被攻擊，而一旦被入侵成功，後續造成的衝擊也會比以往更大。該怎麼有效防禦SQL Injection攻擊呢？就如數聯資安研發處副總經理張裕敏所言，以ASP.NET平臺的防禦來說，微軟早就公布了很完整的作法，只是大家不太願意仔細研讀近9百多頁的手冊，請見本期的新聞深度報導。