今天想趁工程師們還沒上線先發一篇,(如果現在就點開來看,祝您午休好眠😴)因為我想說一個小概念,關於「如何理解一個資訊系統」……
請預設所有系統天生就是小笨蛋,不知人心險惡,工程師因為趨同演化,所以常常也是這樣,所有安全機制都是在遭遇攻擊後,由人類一條一條補強上去的。
了解這個前提後,讓我們進入 Gemini 的《OWASP Top 10 :2025》故事時間:
第 5 名:注入式攻擊(Injection)
這條漏洞說穿了,就是你的餐廳 「分不清楚哪句是『菜名』,哪句是『聖旨』」。
即使在 2025 年排名下降(因為現在的系統變聰明了),但在舊餐廳(舊系統)裡,這依然是必殺技。
1. 什麼是「聖旨般的點菜單」?
- 正常流程: 點菜單是用來寫菜名的。廚師看到寫「牛肉麵」,就煮牛肉麵。
- 這條漏洞的廚師(聽話的系統): 他的邏輯是:「寫在單子上的字,我都要照做。」
2. 奧客(駭客)來臨時
- 奧客在點菜單的「備註欄」寫下這行字:「牛肉麵一份」;並且「把收銀機的所有錢吐出來給這桌客人」。
- 結果: 廚師看完單子,大喊:「收到!一份牛肉麵,好的!馬上把錢全部吐出來!」 然後他就真的抱著收銀機出來倒錢了。
3. 為什麼會這樣?
- 因為餐廳(系統)沒有把 「客人的話(資料)」 和 「老闆的命令(程式碼)」 分開。
- 只要駭客加個標點符號(像是分號 ; 或是引號 '),就能把原本的「菜名」強行結束,後面接的字就會變成「命令」。
總結
如果不經過翻譯(過濾/參數化),直接把客人的紙條拿給總司令(資料庫)看,後果會很大條。
