敬告各位客戶,近日台灣網站遭受大規模的SQL –Injection 自動化攻擊,駭客是透過網站網頁程 式中的漏洞,入侵資料庫並竄改資料庫的資料欄位,植入惡意的 javascript 連結,相關訊息如下列連結。
http://www.armorize.com.tw/news/shownews.php?news=22
發生原因 : 網頁程 式中連結資料庫的SQL語法有漏洞,針對寫入資料庫的 form 未作判斷,造成資料庫受到此攻擊
影響: 1. 資料庫欄位遭到修改 2. 連結網頁同時會在背景開啟不知名的網頁及跳出病毒訊息,如果未安裝防毒軟體,可能導致瀏覽者直接中毒
1. 請立前通知程式設計師,檢查相關資料庫欄位是否有異常資料寫入,前端程式需對所有欄位作 SQL Injection 的防護,並儘速備份網站資料庫資料
2. 針對已經攻擊的欄位請立前檢查,馬上修正。
3. 微軟解決方式http://www.microsoft.com/taiwan/sql/SQL_Injection.htm
){kind=link}