1.媒體來源:
三立
2.完整新聞標題:
「.tw」網域被駭客攻陷!對岸工程師爆出台灣國家級漏洞
http://www.setn.com/ColumnNews.aspx?NewsID=97206
3.完整新聞內文:
記者黃郁棋/綜合報導
只要你有在上網,肯定知道不同的國家有不同的專屬網域。例如台灣有「.tw」、「
.com.tw」,香港有「.hk」、中國有「.cn」等,而這些網域則有專門的國家網站負責管
理,例如台灣就是由TWNIC(台灣網路資訊中心)負責。現在有對岸的工程師爆料,台灣
「TWNIC」存在著「SQL Injection」漏洞!這個漏洞有可能造成機敏資料外流的風險。對
此,TWNIC方面則暫時沒有回應。
「TWNIC」是台灣網路資訊中心,也是負責「.tw」網域的重要單位。中國知名漏洞揭露網
站「烏雲」上面有工程師「路人甲」(對,他就叫路人甲)爆料,TWNIC存在著「SQL
Injection」漏洞,影響超過40萬個域名,危害等級為「高」,已經在9月25日回報給廠商
知道。根據TWNIC在104年9月最新推出的《台灣網路基礎建設概要》資料顯示,截至104年
7月底止,「.tw/.台灣」網域名稱註冊總量已達627,866之多。
▲「烏雲」爆料出的TWNIC SQL Injection漏洞。(圖/翻攝自烏雲)
記者詢問不願具名的資安專家,究竟「SQL Injection」這種安全漏洞是如何發生的、會
帶來怎樣的風險?專家表示,這種漏洞通常是發生在網站可以「輸入資料」的地方,例如
表單系統;駭客只要改變語法邏輯,就能輕易取得所有資料。
「因為我們還不知道他Inject的點是什麼,所以目前也不知道他進入的DB會是哪裡;例如
說,如果他侵入的是使用者表單系統,就有可能造成使用者填入的資料流出。這個問題其
實可能發生在任何網站,就看你有沒有補起來。」
▲這個消息已經通報完畢,應該很快就會修復。(圖/翻攝自烏雲)
不過,SQL Injection其實是一種很古老的漏洞,作為官方的網路幹道平台,確實不應該
犯這種錯。記者致電詢問TWNIC,截至截稿時間前,資訊人員尚未回電解釋情況。
4.完整新聞連結 (或短網址):
http://www.setn.com/ColumnNews.aspx?NewsID=97206
5.備註:
究竟它成功入侵的,是哪一個資料庫呢?