2011年4月1日 星期五

閒聊 : MySQL 官網被入侵了

前幾天資安界最熱門的新聞,莫過於 PHP 開發人員愛用的資料庫系統 'MySQL’ 的官網被入侵了,而且駭客入侵的手法還是炒十幾年前的老梗,只用了 SQL Injection (隱碼攻擊) 就輕鬆帶走 MySQL 相關主管的個人帳號、密碼,

當然啦,MySQL 官網被入侵並不等於 MySQL 產品不安全,因為那完全是兩碼子事,這次入侵事件會造成什麼影嚮,主要還是要看看官網提供了哪些功能給這些主管,以及官網存放資料的資料庫是不是也有存放他們內部系統的其它資料,

其實了解 SQL Injection 的人都知道,這完全是屬於人為造成的漏洞,不是請 MIS 安裝什麼伺服器修正檔就可以解決的問題,如果開發人員就是偷懶、不長進,那這個梗絕對可以繼續讓駭客玩得很開心,

這學期在後期我們也有安排「安全性網站程式設計」的課程內容,除了會談到這次肇事的 SQL Injection 之外,還會跟同學們談到什麼是 Cross-site scription (XSS, 跨網站指令碼) 攻擊,所以如果你(妳)未來想從事網站系統的開發工作,這肯定是一堂不容各位錯過的課程,這堂課的時間會是什麼時候呢?這得讓我想想 ((((=_=

不過無論如何,前面的基礎課程各位一定還是要來上的啦,否則了解概念之後,你(妳)還是無法實作抵禦的機制。

(NEW/HOT) SQL Injection 近期災情新聞匯整 :
Mass SQL Injection來襲,百萬網址受駭 (閱讀)
Barracuda遭SQL Injection攻擊 員工客戶資料都失竊 (閱讀)
MySQL官網遭SQL Injection攻擊 管理員帳密被破解 (閱讀)
驚見 SQL Injection 攻擊大海嘯 – LizaMoon (閱讀)