在5月中，台湾有许多网站遭受了爆量的Mass SQL Injection攻击，初步估计有超过10万台电脑受害。在短短不到1周的时间，同样一批黑客，又利用Adobe Flash播放器的漏洞，再度发动攻击。

 

资安专家表示，从这几波黑客的攻击手法可以发现，这一批黑客，其实是在测试整个Mass SQL Injection攻击的效率与成效。黑客的目的其实是要找到好用的攻击手法，在更短的时间内控制更多计算机，进而窃取计算机的数据。

 

以机器人程序发动大量SQL Injection攻击

4月底，欧美地区就发现大量的Mass SQL Injection攻击手法。5月中，资安公司阿码科技的研究人员，从安装在企业端的网络应用程序防火墙（WAF），发现这种攻击已经波及台湾，他们进一步分析发现，单就5月16日一天，至少就有1万个网站被这个攻击手法植入恶意程序，而被植入恶意连结的网页则高达10万个。

 

黑客的攻击手法，是先利用Google搜寻有SQL漏洞的网站服务器，再以SQL Injection手法入侵。阿码科技资安顾问丁性佃表示，Google搜寻引擎会禁止同一个IP来源在短时间内大量搜寻，一旦有类似行为，Google搜寻引擎就会要求使用者输入图形验证码（CAPTCHAs）或禁止搜寻。丁性佃说，黑客可以大量利用Google搜寻，可能是事先掌控了大量的傀儡计算机，做到以自动化程序大量搜寻有SQL 漏洞的网站，并发动攻击。

 

黑客用Flash漏洞 测试攻击手法精准度

第一波的Mass SQL Injection攻击主要是针对网站服务器，攻击端的IP来源出自中国大陆。敦阳科技资深资安技术顾问杨伯瀚表示，在第一波攻击中被植入恶意程序的网站服务器，被黑客利用来发动第二波攻击，黑客锁定一般使用者计算机Flash播放器的漏洞，只要浏览这些受骇网站的计算机，没有修补Flash程序的漏洞，那么恶意程序就有可能入侵成功，进而控制计算机。

 

数联资安研发处副总经理张裕敏表示，「这一波Adobe Flash的攻击中，在5月30日凌晨零点零分就截止，是一个有时效性的攻击手法，」

 

张裕敏推测，目前看来黑客是在测试攻击手法的成效与精准度。当黑客成功验证了以Google Hacking搭配Mass SQL Injection手法，可以在短时间内攻陷大量网站服务器，进而控制更多浏览网站的计算机之后，也就意味着，这批黑客对受害计算机的掌握度已经到「如入无人之境」的地步。

 

接下来，黑客就可以在受害计算机大量安装遥控的机器人程序，除了可以利用这些傀儡计算机发动DDoS攻击（分布式阻断式攻击），更可以趁机窃取、贩卖计算机里的个人与企业机密数据数据图利。

 

双管齐下 解决SQL Injection老问题

台湾企业对于SQL Injection攻击手法，经常处于束手无策的状态，杨伯瀚表示，多数人都抱持「以拖待变」的心态，只要个人或公司没受害、没见报就好。这样的状况不改变，SQL Injection的问题就会继续存在。

 

面对SQL Injection攻击的恶性循环，敦阳科技技术顾问刘俊雄认为，一定得多管齐下才有机会根绝，他说，正本清源之道是修改原始码，包括源码检测（Code Review）、网站扫描（Web Scan）以及渗透测试（Penetration Testing）等方式。

 

若无法即及修改原始码，则可利用Web应用程序防火墙（WAF）作为防御、应急之用.