1.媒体来源:
三立
2.完整新闻标题:
“.tw”网域被骇客攻陷!对岸工程师爆出台湾国家级漏洞
http://www.setn.com/ColumnNews.aspx?NewsID=97206
3.完整新闻内文:
记者黄郁棋/综合报导
只要你有在上网,肯定知道不同的国家有不同的专属网域。例如台湾有“.tw”、“
.com.tw”,香港有“.hk”、中国有“.cn”等,而这些网域则有专门的国家网站负责管
理,例如台湾就是由TWNIC(台湾网络资讯中心)负责。现在有对岸的工程师爆料,台湾
“TWNIC”存在着“SQL Injection”漏洞!这个漏洞有可能造成机敏资料外流的风险。对
此,TWNIC方面则暂时没有回应。
“TWNIC”是台湾网络资讯中心,也是负责“.tw”网域的重要单位。中国知名漏洞揭露网
站“乌云”上面有工程师“路人甲”(对,他就叫路人甲)爆料,TWNIC存在着“SQL
Injection”漏洞,影响超过40万个域名,危害等级为“高”,已经在9月25日回报给厂商
知道。根据TWNIC在104年9月最新推出的《台湾网络基础建设概要》资料显示,截至104年
7月底止,“.tw/.台湾”网域名称注册总量已达627,866之多。
▲“乌云”爆料出的TWNIC SQL Injection漏洞。(图/翻摄自乌云)
记者询问不愿具名的资安专家,究竟“SQL Injection”这种安全漏洞是如何发生的、会
带来怎样的风险?专家表示,这种漏洞通常是发生在网站可以“输入资料”的地方,例如
表单系统;骇客只要改变语法逻辑,就能轻易取得所有资料。
“因为我们还不知道他Inject的点是什么,所以目前也不知道他进入的DB会是哪里;例如
说,如果他侵入的是使用者表单系统,就有可能造成使用者填入的资料流出。这个问题其
实可能发生在任何网站,就看你有没有补起来。”
▲这个消息已经通报完毕,应该很快就会修复。(图/翻摄自乌云)
不过,SQL Injection其实是一种很古老的漏洞,作为官方的网络干道平台,确实不应该
犯这种错。记者致电询问TWNIC,截至截稿时间前,资讯人员尚未回电解释情况。
4.完整新闻连结 (或短网址):
http://www.setn.com/ColumnNews.aspx?NewsID=97206
5.备注:
究竟它成功入侵的,是哪一个数据库呢?
作者:
starsand (ä¸–å¤–æ‚ æ‚ éš”äººé–“)
2015-09-25 19:17:00TWNIC好像是台大负责的
我很怀疑所谓的漏洞搞不好对于大陆网络来看什么都变漏洞
作者:
jhc0723 (Embeded Funny)
2015-09-25 19:18:00__你娘__巴.tw??
作者:
rayonwu (皂丝)
2015-09-25 19:19:00高调
作者: lsgqlsgq (lsgqlsgq) 2015-09-25 19:19:00
乱报新闻,首先“路人甲”是乌云的匿名用id,就挖洞人
作者: lsgqlsgq (lsgqlsgq) 2015-09-25 19:20:00
不想署名;还有SQL Injection最好是你写的那样简单,去做好功课再来
作者:
wotupset (wotupset)
2015-09-25 19:20:00反正台湾也没什么机密可以偷 030
作者: pathfinder (just enjoy the show) 2015-09-25 19:21:00
不是什么漏洞 而是水母送台的通讯协定
作者:
GaRx (CRoSS_Sakura)
2015-09-25 19:22:00台湾的个资都给了中共 机密?
作者:
friedpig (烤焦棉花糖)
2015-09-25 19:23:00居然乖乖翻成英文了 原本那篇中文有点难读阿
作者: maple315 2015-09-25 19:25:00
还以为是.tw全部挂了 只是个资嘛 还好还好
作者:
SuperUp (( ̄▽ ̄#)﹏﹏)
2015-09-25 19:39:00都层层外包 最后都是学生在写code丫
作者: ayumiayayaai (Kulapikachu) 2015-09-25 19:53:00
外行记者 外行报导
作者:
c780412 (煌)
2015-09-25 20:21:00反正…
作者:
sim3000 (西恩)
2015-09-25 20:25:00我有买耶 orz sim.tw
作者: a5091300 (穩潔海苔~*) 2015-09-25 21:08:00
记者的教育不能等 看到标题就笑死我了