記者黃郁棋/綜合報導
只要你有在上網,肯定知道不同的國家有不同的專屬網域。例如台灣有「.tw」、「.com.tw」,香港有「.hk」、中國有「.cn」等,而這些網域則有專門的國家網站負責管理,例如台灣就是由TWNIC(台灣網路資訊中心)負責。現在有對岸的工程師爆料,台灣「TWNIC」存在著「SQL Injection」漏洞!這個漏洞有可能造成機敏資料外流的風險。對此,TWNIC方面則暫時沒有回應。
「TWNIC」是台灣網路資訊中心,也是負責「.tw」網域的重要單位。中國知名漏洞揭露網站「烏雲」上面有工程師「路人甲」(匿名)爆料,TWNIC存在著「SQL Injection」漏洞,影響超過40萬個域名,危害等級為「高」,已經在9月25日回報給廠商知道。根據TWNIC在104年9月最新推出的《台灣網路基礎建設概要》資料顯示,截至104年7月底止,「.tw/.台灣」網域名稱註冊總量已達627,866之多。
▲「烏雲」爆料出的TWNIC SQL Injection漏洞。(圖/翻攝自烏雲)
記者詢問不願具名的資安專家,究竟「SQL Injection」這種安全漏洞是如何發生的、會帶來怎樣的風險?專家表示,這種漏洞通常是發生在網站可以「輸入資料」的地方,例如表單系統;駭客只要改變語法邏輯,就能輕易取得所有資料。
「因為我們還不知道他Inject的點是什麼,所以目前也不知道他進入的DB會是哪裡;例如說,如果他侵入的是使用者表單系統,就有可能造成使用者填入的資料流出。這個問題其實可能發生在任何網站,就看你有沒有補起來。」
▲這個消息已經通報完畢,應該很快就會修復。(圖/翻攝自烏雲)
不過,SQL Injection其實是一種很古老的漏洞,作為官方的網路幹道平台,確實不應該犯這種錯。記者致電詢問TWNIC,截至截稿時間前,資訊人員尚未回電解釋情況。
歡迎加入逗比叔叔粉絲團,我沒有逼你哦。只要有心,人人都可以是逗比。