[資安小常識] Microsoft 安全性情報報告 Part I – 裝載惡意程式碼網站分佈狀態與自動化 SQL 插入式攻擊
隨著聖誕節的到來,越來越多使用者透過網路社群或是各式網站傳遞祝賀卡片與線上小禮物等社交活動;然而所存取的陌生網站是否安全?相信這是許多使用者心中一直以來的擔憂,根據MSRC的研究,發現在2009年上半年惡意程式碼散佈的網站數量與地理分佈狀態有以下的趨勢:
· 每天發現的惡意程式碼散佈網站都比網路釣魚網站多。
· 惡意程式碼的裝載通常比較穩定,在地理分佈上也有較為集中的傾向。
而這些惡意程式大部分透過所謂的SQL 插入式攻擊植入網站,在過往這類型的攻擊大多針對特定標的物(如下圖)進行,目前的研究發現大規模自動化的攻擊模式已趨成熟,以下是就針對該手法進行說明:
- 「SQL 插入式」這項技術,由攻擊者用來針對以結構化查詢語言 (SQL) 語法來控制資訊儲存與擷取之資料庫中所存在的資料,加以損毀或者盜取。使用此技術的案例在 1H09中廣泛可見。
- SQL 插入式攻擊一般是直接將惡意的 SQL 程式碼傳遞到查詢資料庫的程式或指令碼中。如果程式或指令碼並未妥善驗證輸入,攻擊者便可能執行任意命令。
- 2007 年末,攻擊者開始利用自動化工具,企圖透過 SQL 插入式散播惡意程式碼,侵害大量的網站。 Web 應用程式在接到要求時,通 常會從資料庫擷取資訊,再用來填入網頁,藉此以動態的方式建構網頁。
想獲得更多資訊?參考更多資安小常識