幫管理者找漏洞？　學生駭客利用SQL指令漏洞入侵

(2006/01/19 16:45)

社會中心／綜合報導

刑事局今天(19)破獲一起學生駭客入侵網站竊取私人資料的案件。這名駭客現為北部知名大學學生，年紀只有20歲，被查獲之後，他供稱「取得管理者密碼，是為了幫管理者找到網站的漏洞。」至於將來最大的心願是成為最厲害的「電腦工程師」。警方則表示，這名學生只是將偏差行為合理化，也凸顯其缺乏法律常識照。

刑事警察局表示，日前接獲通報，有數間學校、企業網站遭到不明網路攻擊，懷疑是有駭客利用SQL指令漏洞（隱碼攻擊），竊取帳號密碼等私人資料。警方深入調查後，認為駭客手法極像學生所為，於是由專責網路安全的偵九隊擴大偵辦，追查之後，果然查獲張姓學生犯案。

刑事局表示，張姓學生是利用SQL指令漏洞（隱碼攻擊），竊取帳號密碼等私人資料，所謂「SQL Injection」俗稱「資訊隱碼」攻擊，為資料庫查詢植入攻擊之一種，多半是利用網頁程式設計者忽略檢查使用者輸入內容所造成的安全瑕疵。而有心者可趁填寫資料或是查詢資料的同時，在空白欄位上夾帶惡意的SQL查詢指令，以進行非法、未授權的資料查詢與修改動作。

刑事局進一步說明，SQL Injection既非資料庫系統本身的漏洞，更非任何作業系統或是網站伺服器本身的漏洞。簡單的來說，它是網頁程式設計人員在撰寫網頁程式、如ASP、PHP、JSP、CGI等網頁程式時，忽略加入「Input Validation」輸入值正確性檢查的功能以及未做好資料庫權限控管，進而造成入侵者得以夾帶惡意指令闖關，甚至略過防火牆與身分認證的層層安全關卡的一種「程式漏洞」，直接登堂入室竊走資料庫系統內的客戶交易資料、信用卡資料、甚至是盜轉帳等非法行為。

至於張姓學生到案後，供稱他最大的心願是成為最厲害的電腦工程師。他說，會入侵網站，是對資訊安全漏洞的問題有興趣，所以，想在成功取得相關帳號密碼後，再告訴管理者，其網站的漏洞在哪裡。

對張姓學生的供詞，警方並未採信，雖然目前尚未發現該學生駭客，利用竊取的資料進行販售或分享，不過由於受害單位包含了學校及民間企業單位，侵害層面廣泛，因此將繼續偵辦。

偵九隊也表示，在辦案過程中，也發現部分資質不錯，研習資訊、理工科系的大學生，會因老師要求撰寫程式報告的機會下，擅自入侵他人電腦，擷取相關程式的函數原始碼；雖然這些學生行為屬研究性質，但未經允許入侵網站，仍屬犯法，加上國內學生普遍欠缺資訊法律相關觀念，而且入侵者的年齡層逐漸降低，將是未來網路安全的一大隱憂。

更多今日新聞 >>