| -停權中- | 【新聞】你也可以當駭客「駭」人聽聞 買東西只要一塊錢! 2002/11/26 18:13 你也可以當駭客「駭」人聽聞 買東西只要一塊錢! 2002/11/26 18:13 記者王以瑾台北報導 只要將購物網站的原始碼叫出,存回電腦中,再把要購買的商品改為1塊錢,由瀏覽器開啟更改後的結果,接著按下加入購物車,就能以1塊錢買到這個商品;竟能如此輕易地更改網站上的商品售價,你相信嗎?這是真實存在的駭客手法,這個漏洞仍在某些購物網站中,還未被修補。 駭客研習營講師陳彥銘說,上述的情況,都是來自同一家公司的程式,這家公司是專門提供購物網站程式,只要使用這個程式的購物網站,都會有相同的漏洞。 將所有商品改成1塊錢,看起來也沒有技術可言,知道這個漏洞之後,人人都可以當駭客,連工具都不需要,看得大家都躍躍欲試了;不過,駭客可不是那麼好當的,陳彥銘特別提醒,隨便駭人家,當心警察馬上找上門了,這可是要負法律責任的。 除了更改購物網站的標價之外,陳彥銘也示範了如何利用Google找出密碼提示,進而破解使用者的密碼,以及俄國駭客如何利用公司的IP位置及IIS漏洞,放入後門程式後找出企業銀行帳號,進而進行勒索恐嚇的實戰演練。 雖然經由陳彥銘的示範,更加深了網路的不安全感,但陳彥銘反而表示,他並不會擔心在網路上購物會導致機密資料外洩,他本身也常在網站購物,當然,為了保護自己的重要資料,有些原則一定要遵守。 陳彥銘說,增加密碼被破解的困難度是防範駭客的第一步,以密碼來說,字元愈多愈好,最好設到系統接受的上限,可能的話,密碼之中,還要夾雜英文、數字及特殊符號。 此外,重要的資料絕對不要放在網站中,比如說信用卡號碼及相關資料,有些網站會提供下次免輸入的服務,寧可麻煩一點下次再輸入一次,為了避免風險,還是不要存放在網站之中。 密碼提示往往成為密碼破解的線索;有些人怕忘記,會將密碼放在密碼提示之中,這也常常造成密碼被破解的危機。 陳彥銘說,只要利用搜尋引擎進行一些特別資料的搜尋,就能找出線索,再經由這些線索就能破解一些機密的資料;為了保護資料的安全,基本原則就是提高被找出來的困難度,同時不要將重要的資訊放在網路上,增加被駭的危險。 |
| 回覆 |
| -停權中- | 要是真的用一元買下去 貨真的會來嗎? |
| 回覆 |
| 會員  | 不大可能吧 工程師在幹嘛 |
| 回覆 |
| 高級會員 | 引用:
| |
| 回覆 |
| 拉登長官 | 這算是標準的網站設計漏洞, 如果有網站把 price 的 價錢擺在 script variables 裡面, 自然會有 人想惡作劇整一下...  不信可去 www.google.com 用 "XXX" 查一下, 還是有不少網站如此.. 所以為何 Business logic 要擺在 server, 不擺在 client 端就是如此.. |
| 回覆 |
| -停權中- | 其實要改這個一點都不難耶.. 光看他這樣說我就知道怎麼改了.. |
| 回覆 |
| |
類似的主題 | ||||
| 主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
| 【新聞】你也可以當駭客駭客實戰研習營 首度登場 2002/11/26 16:21 | giogio2000 | -- 防 駭 / 防 毒 版 | 3 | 2002-11-26 08:34 PM |
| 【新聞】入侵美軍方與NASA電腦 英國駭客將遭引渡受審 2002/11/13 08:17 | giogio2000 | -- 防 駭 / 防 毒 版 | 1 | 2002-11-14 01:44 PM |
| XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。
