Yahoo奇摩緊急修補搜便利網站SQL Injection漏洞

資安專家揭露Yahoo奇摩搜便利網站有SQL Injection漏洞，Yahoo奇摩也緊急完成修補

                               
登錄/註冊後可看大圖

Yahoo奇摩的關鍵字廣告搜便利網站在2月底被發現有SQL Injection漏洞，駭客可遠端操控SCID參數，植入特殊的SQL指令，破壞資料庫應用程式。

Yahoo奇摩的關鍵字廣告搜便利網站，在今年2月24日被埃及資安專家發現有SQL Injection漏洞，並立即回報給Yahoo，根據該名專家在網站上的更新，Yahoo也已在4月1日時，發布更新檔緊急修補此漏洞。不過，Yahoo奇摩表示，接獲通知後即完成漏洞修補。

該漏洞是位在Yahoo奇摩關鍵字廣告搜便利網站index.php這個頁面，搜便利網站不同於Yahoo奇摩的關鍵字系統，類似廣告黃頁平臺，開放讓各商家自行上傳相關資訊。

Yahoo奇摩書面回覆表示，這次的問題與Yahoo奇摩關鍵字廣告系統本身並無關聯，而是和Yahoo奇摩提供商家刊登廣告資訊的搜便利服務網頁的參數處理問題，Yahoo奇摩已經在第一時間修正，且該網頁皆為公開資訊，並無資料外洩疑慮。Yahoo奇摩也會持續對內部員工與外包廠商進行相關安全規範的教育訓練，以及強化程式上線的審核。

駭客可利用這個漏洞，遠端操控SCID參數，並植入特殊的SQL指令，透過時間的延遲來判斷SQL指令是否執行成功，成功的話就會破壞資料庫應用程式，產生資料外洩的風險。

這種利用時間差的方式，屬於SQL Injection攻擊中的一種技巧，稱之為SQL Blind Injection。駭客無需取得使用者的帳號密碼就可以進行攻擊，也因此，該名資安專家將此漏洞列為高風險等級。

企業對外服務需要使用資料庫，除非不使用SQL指令，否則就會有遭受SQL Injection攻擊的風險，駭客甚至會以機器人程式發動大量的SQL Injection攻擊（Mass SQL Injection）。

負責研議網路軟體安全標準、工具與文件的開放網路軟體安全計畫（Open Web Application Security Project，OWASP），每隔幾年會發布10大網路應用系統安全漏洞，在2010年與2013年所發布的報告中，Injection類型的攻擊都位於榜首，連國際知名的Yahoo奇摩都有這類的資安問題，顯見企業必須更重視此項安全議題。文⊙張景皓
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "韓流瘋"及" 爆爆遊樂園",
韓流瘋 及 爆爆遊樂園 不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第110波大放送) : 人人回帖有獎勵
(第109波大放送) : 人人回帖有獎勵
(第108波大放送) : 人人回帖有獎勵
(第107波大放送) : 人人回帖有獎勵
(第106波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

有問題...有急事..若小的沒有上線..歡迎聯絡小的,小的很熱意為您服務

                               
登錄/註冊後可看大圖

                               
登錄/註冊後可看大圖

<更多聯絡方式>

**以上報告完畢**
如果可以的話,幫我評個分數或是送一多花給我^^
您的評分與鮮花,是我下次再發帖的原動力
謝謝~
====================================================
                                                                                   2013/05/05 By 游幃翔