只要有电脑系统就有可能有漏洞,但是牵涉到金融相关的漏洞可就严重了。日前日盛证券网站系统发现 SQL Injection 漏洞,导致数亿笔资料泄露,所幸已经回报,正等待日盛的资讯部门修复。
WooYun 资料显示,日盛证券网站漏洞 2016 年 4 月 17 公开,3 月 3 日 15:57 回报。根据 iThome 报导,台湾 HITCON Zero Day 漏洞通报平台窗口翁浩正表示,当天下午已经回报给日盛证券,并且获得正面回应。
SQL Injection 为网络安全漏洞中,发生次数最多的漏洞。主要是在输入 SQL 语法中,插入恶意的数据库查询语法,假若网站未检查就执行恶意语法,造成数据库系统的危害,甚至造成机敏资料大量外泄。
要预防 SQL Injection,在程式撰写时采用完全参数化的设计,过滤使用者输入内容。另外可以使用网页弱点检测程式检查网站是否有漏洞。
相关连结
- 日盛证券全网数据沦陷#亿万条数据泄漏
- 中国漏洞通报平台乌云公布:日盛证券外泄数亿笔资料
