2008 年 05 月 02 日 – 14:40:48 台灣 Nikon 網站被植入惡意連結,此惡意程式為 VBS_AGENT.ALYZ,,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形
(台灣 Nikon 網站目前在重建中,但常常被植入惡意連結,請各位不要瀏覽此網站)。
對此網址,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。ivan0914 發表在 痞客邦 留言(0) 人氣(13)
2008 年 05 月 02 日 – 11:15:25 台灣租車旅遊集團網站被植入惡意連結,此惡意程式為 HTML/Infected.WebPage.Gen,但目前使用 Hinet ADSL 無法連上此惡意連結,使用其他廠商的 ADSL 用戶可能要小心。(Credit: dwjum)
對此網址,Google Search、
McAfee SiteAdvisor、
趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。ivan0914 發表在 痞客邦 留言(0) 人氣(18)
2008 年 05 月 02 日 – 10:30:27 中小企業網路大學校網站被XSSed發現存在XSS(
Cross-Site Scripting)安全漏洞,到目前為止,尚未修復 (此網站的主辦單位是經濟部中小企業處,而執行單位是中華民國資訊軟體協會)。
ivan0914 發表在 痞客邦 留言(0) 人氣(16)
2008 年 04 月 29 日 – 14:39:42 聯成電腦網站被XSSed發現存在XSS(
Cross-Site Scripting)安全漏洞,到目前為止,尚未修復。
ivan0914 發表在 痞客邦 留言(0) 人氣(28)
中華新時代協會網站被植入惡意連結,此惡意程式為 TSPY_ONLINEG.FYU,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。(Credit: Google)
對此網址,McAfee SiteAdvisor、
趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。 詳情請按此
ivan0914 發表在 痞客邦 留言(0) 人氣(36)
The US-CERT Current Activity web page is a regularly updated summary of the most frequent, high-impact types of security incidents currently being reported to the US-CERT. Last reviewed: April 28, 2008 14:04:28 EDT
ivan0914 發表在 痞客邦 留言(0) 人氣(31)
Published: 2008-04-28,
Last Updated: 2008-04-28 21:48:14 UTC
by John Bambenek (Version: 1)
Some readers pointed out that the last @RISK digest made mention of a Intel Centrino Wireless Driver bug. To clarify (and this clarification is in the archive now, and will go out with the next digest), this is an old bug (Jan. 2007) with a fix already out. However, there is finally exploit code out there that is available for Metasploit which means the script kiddies will be out in force at a Starbucks near you. Bottom line: old bug, patch available, new exploit code. You have patched this already, haven't you?
--
ivan0914 發表在 痞客邦 留言(0) 人氣(15)
| |
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
SQL指令植入式攻擊的危害 SQL 指令植入式攻擊可能引起的危害取決於該網站的軟件環境和配置。當 Web 服務器以操作員(dbo)的身份訪問數據庫時,利用SQL 指令植入式攻擊就可能刪除所有表格、創建新表格,等等。當服務器以超級用戶 (sa) 的身份訪問數據庫時,利用SQL 指令植入式攻擊就可能控制整個SQL服務器;在某些配置下攻擊者甚至可以自行創建用戶帳號以完全操縱數據庫所在的Windows 服務器。
SQL指令植入式攻擊 杜絕SQL 指令植入式攻擊的第一步就是採用各種安全手段監控來自 ASP request 對象 (Request 、 Request.QueryString 、 Request.Form 、 Request.Cookies 和 Request.ServerVariables) 的用戶輸入,以確保 SQL 指令的可靠性。具體的安全手段根據你的 DBMS 而異,下面給出的都是基於 MS SQL Server的例子。 在前述登錄頁面的例子中,腳本期望得到的兩個輸入變量 (txtUserName 和 txtPassword)均為字符串類型。無論用戶在哪個參數中插入單引號,他都可能讓數據庫執行單引號中的 SQL 指令。為了杜絕此類SQL 指令植入式攻擊,我們可以借助 Replace 函數剔除單引號,比如:
代碼:p_strUsername = Replace(Request.Form("txtUsername"), "", "")
p_strPassword = Replace(Request.Form("txtPassword"), "", "") |
在第二個例子中,腳本期望的輸入變量是長整型變量 (ID) 。用戶可以通過在 ID 參數中插入特殊字符來運行不安全的 SQL 指令。為了為了杜絕此類SQL 指令植入式攻擊,我們只需要借助 CLng 函數限制 ID 值為長整型變量,比如: 代碼:p_lngID = CLng(Request("ID")) 當用戶試圖在 ID 中包含特殊字符時,CLng 就會產生一個錯誤。 為了進一步減少SQL 指令植入式攻擊的危脅,請務必清除客戶端錯誤信息文本中的所有技術資料。某些錯誤信息往往洩露了技術細節,從而讓攻擊者可以看出服務器的安全漏洞所在。這 裡指的錯誤信息不但包括應用程序生成的消息框,還包括來自 IIS 的出錯提示。為此,你可以禁止由 IIS 發送的詳細錯誤信息,而改用自定義的出錯頁面。 最後,為了減輕SQL 指令植入式攻擊的危害,請限制 Web 應用程序所用的數據庫訪問帳號權限。一般來說,應用程序沒有必要以 dbo 或者 sa 的身份訪問數據庫。記住,給它的權限越少,你的網站越安全!你還可以考慮分別給每個需要訪問數據庫的對象分配只擁有必需權限的帳號,以分散安全漏洞。例 如:同是前端用戶界面,當用於公共場所時就比用於具有本地內容管理機制的平台時更加需要嚴格限制數據庫訪問權限。 (責任編輯:盧兆林)
資料來源 http://database.ccidnet.com/art/1105/20080424/1431175_3.html
ivan0914 發表在 痞客邦 留言(0) 人氣(69)
| |
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
乍一看,ExecLogin.asp 的代碼似乎沒有任何安全漏洞,因為用戶如果不給出有效的用戶名/密碼組合就無法登錄。然而,這段代碼偏偏不安全,而且它正是SQL 指令植入式攻擊的理想目標。具體而言,設計者把用戶的輸入直接用於構建SQL 指令,從而使攻擊者能夠自行決定即將被執行的 SQL 指令。例如:攻擊者可能會在表單的用戶名或密碼欄中輸入包含「 or 」和「=」 等特殊字符。於是,提交給數據庫的 SQL 指令就可能是:
代碼:SELECT * FROM tblUsers WHERE Username= or = and Password = or = |
這樣,SQL 服務器將返回 tblUsers 表格中的所有記錄,而 ASP 腳本將會因此而誤認為攻擊者的輸入符合 tblUsers 表格中的第一條記錄,從而允許攻擊者以該用戶的名義登入網站。 SQL 指令植入式攻擊還有另一種形式,它發生在 ASP 服務器根據 querystring 參數動態生成網頁時。這裡有一個例子,此 ASP 頁面從 URL 中提取出 querystring 參數中的 ID 值,然後根據 ID 值動態生成後繼頁面:
代碼:<% Dim p_lngID, objRS, strSQL p_lngID = Request
("ID") strSQL = "SELECT * FROM tblArticles WHERE ID="
& p_lngID Set objRS = Server.CreateObject
("ADODB.Recordset") objRS.Open strSQL, "DSN=..."
If (Not objRS.EOF) Then Response.Write objRS
("ArticleContent") Set objRS = Nothing %> |
在一般情況下,此 ASP 腳本能夠顯示具有特定 ID 值的文章的內容,而 ID 值是由 URL 中的 querystring 參數指定的。例如:當URL為http://www.example.com/Article.asp?ID=1055 時,ASP 就會根據 ID 為1055的文章提供的內容生成頁面。 如同前述登錄頁面的例子一樣,此段代碼也向SQL 指令植入式攻擊敞開了大門。某些惡意用戶可能會把 querystring 中的文章 ID 值偷換為「0 or 1=1」等內容(也就是說,把 URL 換成http://www.example.com/Article.asp?ID=0 or 1=1) 從而誘使 ASP 腳本生成不安全的SQL指令如:
代碼:SELECT * FROM tblArticles WHERE ID=0 or 1=1 |
於是,數據庫將會返回所有文章的內容。
當然了,本例服務器所受的攻擊不一定會引起什麼嚴重後果。可是,攻擊者卻可能變本加 厲,比如用同樣的手段發送 DELETE 等SQL指令。這只需要簡單地修改前述 URL 中的querystring 參數就可以了!例如:任何人都可以通過 http://www.example.com/Article.asp?ID=1055; DELETE FROM tblArticles 」之類的URL來訪問Web網站。
資料來源 http://database.ccidnet.com/art/1105/20080424/1431175_2.html
ivan0914 發表在 痞客邦 留言(0) 人氣(30)
| |
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
ivan0914 發表在 痞客邦 留言(0) 人氣(32)
