1.媒體來源:
三立
2.完整新聞標題:
「.tw」網域被駭客攻陷!對岸工程師爆出台灣國家級漏洞
http://www.setn.com/ColumnNews.aspx?NewsID=97206
3.完整新聞內文:
記者黃郁棋/綜合報導
只要你有在上網,肯定知道不同的國家有不同的專屬網域。例如台灣有「.tw」、「
.com.tw」,香港有「.hk」、中國有「.cn」等,而這些網域則有專門的國家網站負責管
理,例如台灣就是由TWNIC(台灣網路資訊中心)負責。現在有對岸的工程師爆料,台灣
「TWNIC」存在著「SQL Injection」漏洞!這個漏洞有可能造成機敏資料外流的風險。對
此,TWNIC方面則暫時沒有回應。
「TWNIC」是台灣網路資訊中心,也是負責「.tw」網域的重要單位。中國知名漏洞揭露網
站「烏雲」上面有工程師「路人甲」(對,他就叫路人甲)爆料,TWNIC存在著「SQL
Injection」漏洞,影響超過40萬個域名,危害等級為「高」,已經在9月25日回報給廠商
知道。根據TWNIC在104年9月最新推出的《台灣網路基礎建設概要》資料顯示,截至104年
7月底止,「.tw/.台灣」網域名稱註冊總量已達627,866之多。
▲「烏雲」爆料出的TWNIC SQL Injection漏洞。(圖/翻攝自烏雲)
記者詢問不願具名的資安專家,究竟「SQL Injection」這種安全漏洞是如何發生的、會
帶來怎樣的風險?專家表示,這種漏洞通常是發生在網站可以「輸入資料」的地方,例如
表單系統;駭客只要改變語法邏輯,就能輕易取得所有資料。
「因為我們還不知道他Inject的點是什麼,所以目前也不知道他進入的DB會是哪裡;例如
說,如果他侵入的是使用者表單系統,就有可能造成使用者填入的資料流出。這個問題其
實可能發生在任何網站,就看你有沒有補起來。」
▲這個消息已經通報完畢,應該很快就會修復。(圖/翻攝自烏雲)
不過,SQL Injection其實是一種很古老的漏洞,作為官方的網路幹道平台,確實不應該
犯這種錯。記者致電詢問TWNIC,截至截稿時間前,資訊人員尚未回電解釋情況。
4.完整新聞連結 (或短網址):
http://www.setn.com/ColumnNews.aspx?NewsID=97206
5.備註:
究竟它成功入侵的,是哪一個資料庫呢?
作者:
starsand (ä¸–å¤–æ‚ æ‚ éš”äººé–“)
2015-09-25 19:17:00TWNIC好像是台大負責的
我很懷疑所謂的漏洞搞不好對於大陸網路來看什麼都變漏洞
作者:
jhc0723 (Embeded Funny)
2015-09-25 19:18:00__你娘__巴.tw??
作者:
rayonwu (皂絲)
2015-09-25 19:19:00高調
作者: lsgqlsgq (lsgqlsgq) 2015-09-25 19:19:00
亂報新聞,首先「路人甲」是烏雲的匿名用id,就挖洞人
作者: lsgqlsgq (lsgqlsgq) 2015-09-25 19:20:00
不想署名;還有SQL Injection最好是你寫的那樣簡單,去做好功課再來
作者:
wotupset (wotupset)
2015-09-25 19:20:00反正台灣也沒什麼機密可以偷 030
作者: pathfinder (just enjoy the show) 2015-09-25 19:21:00
不是什麼漏洞 而是水母送台的通訊協定
作者:
GaRx (CRoSS_Sakura)
2015-09-25 19:22:00台灣的個資都給了中共 機密?
作者:
friedpig (烤焦棉花糖)
2015-09-25 19:23:00居然乖乖翻成英文了 原本那篇中文有點難讀阿
作者: maple315 2015-09-25 19:25:00
還以為是.tw全部掛了 只是個資嘛 還好還好
作者:
SuperUp (( ̄▽ ̄#)﹏﹏)
2015-09-25 19:39:00都層層外包 最後都是學生在寫code丫
作者: ayumiayayaai (Kulapikachu) 2015-09-25 19:53:00
外行記者 外行報導
作者:
c780412 (煌)
2015-09-25 20:21:00反正…
作者:
sim3000 (西恩)
2015-09-25 20:25:00我有買耶 orz sim.tw
作者: a5091300 (穩潔海苔~*) 2015-09-25 21:08:00
記者的教育不能等 看到標題就笑死我了