tag
SQL injection
該標籤下有 2 篇文章
CVSS9.82026-06-12
MOVEit 大規模資料外洩(2023)—— SQL 注入零時差漏洞波及 2,700 多家組織的原因與防禦
入口是面向網際網路公開的檔案傳輸產品 MOVEit Transfer 的 SQL 注入零時差漏洞(CVE-2023-34362)。攻擊者植入 Web shell(LEMURLOOT),從後端資料庫批量竊取資料,致 2,700 多家組織、約 9,330 萬人的資料外洩。許多受害者是因為委外廠商、合作方使用了 MOVEit 而被間接牽連。在你的環境中,可透過 KEV 即時修補、最小化暴露面、Web↔DB 的最小權限與隔離、委外廠商盤點與資料最小化來防範。
2026-06-08
什麼是 SQL injection(SQLi)——能用輸入改寫資料庫命令的漏洞
SQLi 是一種讓輸入被當作「命令的一部分」而非「資料」來解釋、從而改變資料庫查詢含義的漏洞,直接導致資料被讀取、被竄改、被全部刪除。真正有效的防禦是「停止字串串接,用佔位符(prepared statement)傳值」。