中華資安國際發現弱點，某國內數位學習系統具有兩項漏洞

【風險等級】High

【影響範圍】

【細節描述】

SQL Injection: 部分功能參數未對使用者輸入進行驗證，允許遠端攻擊者在登入一般使用者的情況下，即可注入任意 SQL 指令讀取、修改及刪除資料庫內容。

Local File Inclusion: 特定URL之參數存在 Local File Inclusion 漏洞，遠端攻擊者在登入一般使用者的情況下，可利用此漏洞引用系統目錄下的檔案，執行系統任意指令，並對系統進行任意操作或中斷服務。

中華資安國際建議採取以下防範措施：

使用者：聯繫廠商盡速安裝修補更新檔。

系統開發商：在程式開發過程中應針對輸入參數做檢查。

系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。