※ 本文為 doracacazin 轉寄自 ptt.cc 更新時間: 2013-05-07 14:20:32
看板 Gossiping
作者 標題 [新聞] 與電腦高手爭辯資安 研究生「駭」贏卻觸
時間 Mon May 6 10:56:38 2013
1.媒體來源:
請寫出完整媒體來源!例如中國時報、TVBS等,沒寫者一率刪除。
聯合
2.完整新聞標題/內文:
a.(該新聞是否超過三天?搜尋一下有沒有OP?)
b.(社論特稿都不能貼!違者劣退,貼廣告會被劣喔!)
某國立大學資工研究所一名研究生與電腦高手在網路辯論資訊安全問題,為證明自己觀點
正確,駭入對方負責維護的音樂網站資料庫,將所有會員姓名變成空白;他贏了打賭,卻
觸法;刑事局發現他留下的漏洞,循線查獲他依妨害電腦使用罪嫌送辦。
正確,駭入對方負責維護的音樂網站資料庫,將所有會員姓名變成空白;他贏了打賭,卻
觸法;刑事局發現他留下的漏洞,循線查獲他依妨害電腦使用罪嫌送辦。
據了解,這名研究生高中時曾拿下台北市軟體競賽前三名,他被逮後辯稱並未將駭得的會
員資料拿來作不法用途,只是一時意氣之爭,想證明自己的想法是對的;不過刑事局人員
告訴他,無故入侵他人電腦並竄改資料就是觸法,依法必須究辦。
員資料拿來作不法用途,只是一時意氣之爭,想證明自己的想法是對的;不過刑事局人員
告訴他,無故入侵他人電腦並竄改資料就是觸法,依法必須究辦。
警方指出,這名研究生去年底在網路上與另名電腦高手辯論資訊安全問題,他表示資訊安
全首重程式撰寫是否傑出,但對方說資安問題要重視稽核與維護,兩人爭辯不休,研究生
最後查出對方任職並維護的一處古典音樂網站,當駭客證明自己觀點。這名研究生侵入音
樂網站會員資料庫後,將一萬兩千多名會員姓名改成自己的名字,但因怕被發現身分又將
所有會員姓名改成空白。音樂網站發現後立即報警,刑事局發現駭客相當高明,但無意間
留下個漏洞,花一個月反向追查,找到研究生入侵途徑循線逮捕他。他告訴警方,國內還
有很多網站有類似漏洞。
全首重程式撰寫是否傑出,但對方說資安問題要重視稽核與維護,兩人爭辯不休,研究生
最後查出對方任職並維護的一處古典音樂網站,當駭客證明自己觀點。這名研究生侵入音
樂網站會員資料庫後,將一萬兩千多名會員姓名改成自己的名字,但因怕被發現身分又將
所有會員姓名改成空白。音樂網站發現後立即報警,刑事局發現駭客相當高明,但無意間
留下個漏洞,花一個月反向追查,找到研究生入侵途徑循線逮捕他。他告訴警方,國內還
有很多網站有類似漏洞。
警方說,「資訊工程」碰上「資訊管理」就像「東邪」強碰「西毒」,誰也不讓誰;研究
生利用一種SQL injection(資料隱碼攻擊)手法,在SQL指令中嵌入一個惡意程式碼,通
過防火牆和身分驗證機制取得資料庫系統的控制權,以達資料庫毀損或資料流失的目的
生利用一種SQL injection(資料隱碼攻擊)手法,在SQL指令中嵌入一個惡意程式碼,通
過防火牆和身分驗證機制取得資料庫系統的控制權,以達資料庫毀損或資料流失的目的
。
3.新聞連結:
(超過一行或有中文網址請縮個網址! 板規內文有提供縮網址網站)←看完可刪除此行
http://m.udn.com/xhtml/HistoryArt?articleid=3294260
![[圖]](http://udn.com/2010/images/func_udn.gif)
4.備註:
(一個人一天只能張貼一則新聞,"被刪"或"自刪"也算額度內,超貼者劣文"請注意")
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 42.71.197.133
→ :吃飽太閒1F 05/06 10:57
推 :都什麼年代了還會中SQL injection....2F 05/06 10:57
推 :SQL injection...那種過時的東西還有用喔3F 05/06 10:58
推 :資管算文組 不意外4F 05/06 10:58
→ :假如是的話,那我也能當駭客了5F 05/06 10:58
推 :事實上是有用的不是嗎?6F 05/06 10:58
推 :SQL injection 資安課程 第一章第一節....7F 05/06 10:58
推 :原來那種東西還有用8F 05/06 10:59
→ :資工又一次電爆資管了9F 05/06 10:59
→ :所以是說那個音樂網站太爛嗎?10F 05/06 10:59
推 :想也知道是台灣資方資安觀念不夠,該花的不花...11F 05/06 10:59
→ :舊東西都不改...當然一堆洞...
→ :舊東西都不改...當然一堆洞...
推 :抓到再告就好 何必防駭? 台灣有台灣的玩法13F 05/06 11:00
推 :高級釣竿14F 05/06 11:00
推 :故意不做好可能是希望用法律來鑽錢吧?!15F 05/06 11:00
推 :還有網站會因SQL injection被駭喔- -16F 05/06 11:01
推 :這我也會17F 05/06 11:01
→ :asp php還是很常見18F 05/06 11:01
推 :抓到再告?現在個資法再這樣搞,罰到爽....19F 05/06 11:02
→ :台灣公務資訊系統用這種過時的攻擊法應該很管用吧!20F 05/06 11:02
推 :難怪中國網軍把台灣當肥羊21F 05/06 11:02
推 :有點猛 是 人才22F 05/06 11:02
推 :這是 asp 或 php 的問題嗎?23F 05/06 11:02
→ :如果國防部不吸收的話 那台灣網路就等著被中國接收吧24F 05/06 11:03
推 :網站也太爛了....25F 05/06 11:03
推 :結果警察最強26F 05/06 11:04
→ :RD:zzzzz27F 05/06 11:05
→ :不要把user query直接餵給SQL是常識28F 05/06 11:05
推 :[新聞] 上萬網軍攻府院 國安法要管29F 05/06 11:05
→ :政府不考慮聘請這位研究生測試網站漏洞嗎?
→ :還是只會浪費人力做網路巡邏?
→ :政府不考慮聘請這位研究生測試網站漏洞嗎?
→ :還是只會浪費人力做網路巡邏?
推 :激不得32F 05/06 11:06
推 :年輕人終究是年輕人...sql injection也太..33F 05/06 11:07
→ :而且國安法管得到對岸? 趕快組織台灣網軍才實在34F 05/06 11:07
→ :asp php很容易有這樣的寫法~但不是asp php的問題~35F 05/06 11:07
推 :可是資工的被抓了36F 05/06 11:07
→ :連這種老洞都補不起來還去跟人辯資安 臉腫很大37F 05/06 11:08
→ :請把你的專長用在有意義的正途上...38F 05/06 11:08
推 :網路警察最猛39F 05/06 11:09
推 :搞不好是故意挖洞給人跳 計中計中計中計40F 05/06 11:09
推 :sql injection.....還高手咧41F 05/06 11:09
噓 :電腦高手:我故意擺一個陷阱 妳中計了42F 05/06 11:09
推 :有些老站也很難去升級補洞 用google就可以找到一堆43F 05/06 11:09
→ :...sql injection不是國高中生在玩的嗎44F 05/06 11:09
推 :....應該很多軟體公司要找他了45F 05/06 11:09
→ testutw …
→ :不愧是電腦高手 抓駭客手法相當高明47F 05/06 11:10
推 :什麼老洞 這是餌 釣起來告下去輕鬆賺 再拿裡面的22K修網站48F 05/06 11:10
推 :馬上被挖角!49F 05/06 11:10
推 :資安第一章第一節明明是CIA...50F 05/06 11:10
→ :明天網管再戰一百個電腦高手51F 05/06 11:10
→ :其實SQL injection很多高中資訊社就會了52F 05/06 11:11
噓 :年輕人就是年輕人 實在是太衝洞了...53F 05/06 11:12
推 :哈哈人才 人才54F 05/06 11:12
→ :第一章不是Alice、Bob跟Death嗎?55F 05/06 11:13
推 :也是資工的,資訊安全本來就至少程式先不能有漏洞了56F 05/06 11:14
→ :程式沒問題之後,後續的稽核和維護也很重要
→ :程式沒問題之後,後續的稽核和維護也很重要
→ :花一個月反向追查!!!!!!可見這案子比核四還重要!!!!!!!!58F 05/06 11:16
→ :比林益世重要59F 05/06 11:17
推 :他太笨了,應該打賭駭這網站,就不算違法了60F 05/06 11:18
→ :你就算戴了套子(稽核維護),也不能讓人走你後門(漏洞)61F 05/06 11:18
推 :資工,電子,電機合稱資電,資管有進入資電學院嘛?62F 05/06 11:18
噓 :駭的進去不代表你比較強,攻擊的永遠比防守快一步。63F 05/06 11:19
推 :被釣魚 傻傻的64F 05/06 11:19
→ :被釣魚...傻傻的65F 05/06 11:21
噓 :玩這種已知的伎倆叫強?只強過對方而 寫一套沒bug的出來再說66F 05/06 11:21
推 :SQL injection竟然還有用啊...67F 05/06 11:21
推 :另一個是釣魚高手吧68F 05/06 11:21
→ :搞不好另一個是想釣他 看這新聞覺得不無可能69F 05/06 11:22
推 :or 'a'='a'70F 05/06 11:22
推 :說不定這是Honeypot 弄個漏洞引他上鉤71F 05/06 11:23
推 :不太可能故意留漏洞,因為不是只有他可能會攻擊的72F 05/06 11:25
噓 :最好是資訊管理連sql injection 都管不了 = =73F 05/06 11:27
→ :資管的人也沒被看這麼扁吧
→ :資管的人也沒被看這麼扁吧
→ :不要小看SQL injection75F 05/06 11:30
噓 :呵呵有夠丟臉,在網路上跟人對嗆輸了還有臉跟條子哭哭76F 05/06 11:30
→ :輸給釣魚魔人77F 05/06 11:30
推 :22k的工程師 當然就寫出一堆洞的網站 誰說過時的78F 05/06 11:32
推 :資管根本是頗哈的科系 兩光皮毛79F 05/06 11:34
噓 :資管文組只會嘴炮資安啊 炮輸了就釣魚告人最會了80F 05/06 11:43
→ :XD81F 05/06 11:44
推 :' or 'a'='a82F 05/06 11:46
→ :用havij最快
→ :用havij最快
推 :資工和資管比本來就資工大勝 還用戰?84F 05/06 11:51
推 :天才小釣手85F 05/06 11:56
→ :說資管頗呵,我自己就資工的有啥好屌的?掛個資工的名號,86F 05/06 12:29
→ :整個系會的就那幾個,九成以上都是來混抄的,我看資管也差
→ :不多,兩個都頗哈,別在那龜笑鱉沒尾了。
→ :整個系會的就那幾個,九成以上都是來混抄的,我看資管也差
→ :不多,兩個都頗哈,別在那龜笑鱉沒尾了。
→ :西扣引杰生不是10幾年前的東西嗎89F 05/06 12:39
推 :沒錯,都上個世紀的東西了90F 05/06 12:39
推 :要先跟對方邀約,對方有承諾再去駭阿91F 05/06 12:42
推 :版上好像還有另一個例子92F 05/06 12:57
推 :這SQL injection防疫漏洞是我這50天加進去的 就為了讓你進來93F 05/06 13:06
推 :有夠丟臉,上個世紀的漏洞,還有臉跟人爭論資安問題94F 05/06 13:08
推 :警察:兩個嫩B95F 05/06 13:23
推 :這篇看來有很多鍵盤資安高手96F 05/06 15:36
推 :SQL injection還好意思出來炫耀...97F 05/06 16:18
推 :CS還MIS 求學期都半斤八兩啦98F 05/06 16:18
推 :牽拖資工資管,最好程式是資工寫,擋injecton是資管寫99F 05/06 16:20
噓 :中計了都不懂100F 05/06 17:15
推 :資管要尬資工 差得遠吧101F 05/06 20:15
--
※ 看板: Doracacazin 文章推薦值: 0 目前人氣: 0 累積人氣: 980
回列表(←)
分享