1.媒体来源:
三立
2.完整新闻标题:
“.tw”网域被骇客攻陷!对岸工程师爆出台湾国家级漏洞
http://www.setn.com/ColumnNews.aspx?NewsID=97206
3.完整新闻内文:
记者黄郁棋/综合报导
只要你有在上网,肯定知道不同的国家有不同的专属网域。例如台湾有“.tw”、“
.com.tw”,香港有“.hk”、中国有“.cn”等,而这些网域则有专门的国家网站负责管
理,例如台湾就是由TWNIC(台湾网络资讯中心)负责。现在有对岸的工程师爆料,台湾
“TWNIC”存在着“SQL Injection”漏洞!这个漏洞有可能造成机敏资料外流的风险。对
此,TWNIC方面则暂时没有回应。
“TWNIC”是台湾网络资讯中心,也是负责“.tw”网域的重要单位。中国知名漏洞揭露网
站“乌云”上面有工程师“路人甲”(对,他就叫路人甲)爆料,TWNIC存在着“SQL
Injection”漏洞,影响超过40万个域名,危害等级为“高”,已经在9月25日回报给厂商
知道。根据TWNIC在104年9月最新推出的《台湾网络基础建设概要》资料显示,截至104年
7月底止,“.tw/.台湾”网域名称注册总量已达627,866之多。
▲“乌云”爆料出的TWNIC SQL Injection漏洞。(图/翻摄自乌云)
记者询问不愿具名的资安专家,究竟“SQL Injection”这种安全漏洞是如何发生的、会
带来怎样的风险?专家表示,这种漏洞通常是发生在网站可以“输入资料”的地方,例如
表单系统;骇客只要改变语法逻辑,就能轻易取得所有资料。
“因为我们还不知道他Inject的点是什么,所以目前也不知道他进入的DB会是哪里;例如
说,如果他侵入的是使用者表单系统,就有可能造成使用者填入的资料流出。这个问题其
实可能发生在任何网站,就看你有没有补起来。”
▲这个消息已经通报完毕,应该很快就会修复。(图/翻摄自乌云)
不过,SQL Injection其实是一种很古老的漏洞,作为官方的网络干道平台,确实不应该
犯这种错。记者致电询问TWNIC,截至截稿时间前,资讯人员尚未回电解释情况。
4.完整新闻连结 (或短网址):
http://www.setn.com/ColumnNews.aspx?NewsID=97206
5.备注:
究竟它成功入侵的,是哪一个数据库呢?