ADPT

3 สิ่งสำคัญเพื่อป้องกัน SQL Injection

SQL Injection เป็นเทคนิคที่ใช้ประโยชน์จากส่งคำสั่ง SQL ผ่านทางเว็บแอพพลิเคชันเพื่อไปโจมตีระบบฐานข้อมูลหลังบ้าน โดยอาศัยช่องโหว่ของการใส่ข้อมูล input ของผู้ใช้ ซึ่งการโจมตีรูปแบบนี้ถูกค้นพบมานานหลาย 10 ปีแล้ว แต่ยังคงนำความปวดหัวมาให้แก่เหล่าผู้ดูแลระบบฐานข้อมูลมาจนถึงปัจจุบันนี้

หลายคนยังไม่ตระหนักด้วยว่า SQL Injection สามารถทำได้ทั้งสองทาง คือ สามารถใช้เพื่อดึงข้อมูลออกมาจากฐานข้อมูล และยังใช้เพื่อแก้ไข รวมทั้งอัพโหลดข้อมูลไปที่ฐานข้อมูลได้ด้วย แฮ็คเกอร์บ้างคนสามารถใช้ SQL Injection ในการอัพโหลดมัลแวร์ขึ้นไปยังระบบฐานข้อมูล แล้วให้มัลแวร์นั้นกระจายต่อไปยังระบบที่มีการซื้อขาย (Point-of-Sale Endpoint) เพื่อขโมยหรือเปลี่ยนแปลงข้อมูลการเงินต่างๆ

Michael Sabo จาก DB Networks บริษัทชื่อดังทางด้านระบบความปลอดภัยของข้อมูลในประเทศอเมริกา กล่าวว่า “คุณมักจะได้ยินบ่อยๆว่า ลองทำแบบนี้สิ แบบนั้นสิ เดี๋ยวก็แก้ปัญหาได้ แต่จริงๆแล้วมันไม่ได้ง่ายขนาดนั้น แต่ละวิธีสามารถใช้งานได้ดีในระดับหนึ่ง แต่ไม่สามารถจัดการปัญหาได้สมบูรณ์ เรายังไม่มีช็อตปลิดชีพ”

Sabo ยังให้ข้อมูลอีกว่า “วิธีการป้องกัน SQL Injection ยอดนิยมที่ OWASP ชอบแนะนำ คือ การเขียนโค้ดให้สมบูรณ์แบบ แต่ต่อให้เราเขียนโค้ดของแอพพลิเคชันได้ยอดเยี่ยมแค่ไหน ระบบเราก็ยังมีช่องโหว่อยู่ดี เนื่องจากซอฟต์แวร์ 3rd Party ที่ใช้เราไม่สามารถแก้ไขอะไรได้เลย ยกตัวอย่าง Ruby on Rails ใครจะไปรู้ล่ะว่า Framework พื้นฐานจะมีช่องโหว่อยู่ มันทำให้ 250,000 เว็บไซต์ตกอยู่ในความเสี่ยงของ SQL Injection เนื่องจากนักพัฒนาโปรแกรมเหล่านั้นสร้างเว็บไซต์บน Framework ที่ไม่สมบูรณ์แบบ นอกจากนี้ ตัว RDBMS ของ Oracle เองก็มีช่องโหว่สำหรับ SQL Injection เช่นกัน ต่อให้ไม่สนใจโค้ดที่เขียน ระบบของเราก็มีช่องโหว่อยู่ดี”

3 สิ่งที่ Sabo แนะนำเพื่อช่วยลดความเสี่ยงของการถูก SQL Injection ได้แก่

  1. เราต้องทราบว่า ฐานข้อมูลเราอยู่ที่ไหน มีข้อมูลอะไรอยู่บ้าง และมันเชื่อมต่อกับแอพพลิเคชันอย่างไร “หลายบริษัทไม่ค่อยใส่ใจระบบฐานข้อมูลมากนัก หรือต่อให้พวกเขารู้เกี่ยวกับฐานข้อมูลทั้งหมดก็เถอะ ปัญหาที่พบบ่อยอีกอย่างก็คือ ฐานข้อมูลเหล่านั้นถูกเปิดเผยออกมาในระบบเครือข่ายตรงที่ที่ไม่ควรจะเปิดเผย นี่ไม่ใช่บัญหาเรื่องฐานข้อมูลละ มันเป็นปัญหาทางด้านระบบเครือข่าย” — Sabo กล่าวถึงรายละเอียดยกตัวอย่าง เช่น บริษัทตั้งฐานข้อมูลมาเพื่อทดสอบอะไรบางอย่าง แต่พวกเขาดันลืมเก็บกวาดให้เรียบร้อยหลังทดสอบ บ่อยครั้งที่ฐานข้อมูลเหล่านั้นมักจะใช้รหัสผ่าน default หรือใช้ข้อมูลจริงในการทดสอบ เนื่องจากพวกเขาต้องการความสมจริง และไม่คิดว่าจะมีใครเห็นฐานข้อมูลนี้ สิ่งเหล่านี้อาจก่อให้เกิดข้อมูลรั่วไหลออกไปได้ ดังนั้นแล้ว อันดับแรก คือ เราต้องทราบว่าฐานข้อมูลทั้งหมดจริงๆในระบบเรามีอยู่ที่ไหนบ้าง มีข้อมูลอะไรอยู่ และเชื่อมต่อกับแอพพลิเคชันที่เหมาะสมเท่านั้น ช่องทางอื่นให้ปิดไปให้เรียบร้อย
  2. คอยติดตามการใช้งานระหว่างแอพพลิเคชันและฐานข้อมูลตลอดเวลา เราควรต้องรู้ตัวทันทีเมื่อมีทราฟฟิคแปลกปลอมเข้ามาในฐานข้อมูล ปัจจุบันนี้เรามีเครื่องมือจำพวก Database Activity Monitoring หรือ Database Firewall ให้เลือกใช้มากมาย ซึ่งช่วยให้เราสามารถติดตาม และตรวจจับทราฟฟิคที่ไม่มีสิทธิ์ก่อนที่จะมาทำร้ายระบบฐานข้อมูลของเราได้
  3. สิ่งสุดท้ายที่ช่วยป้องกันฐานข้อมูล คือ เครื่องมือในการป้องกันการรั่วไหลของข้อมูล (Data Leak Prevention) “เมื่อคุณเริ่มเห็นว่าข้อมูลบัตรเครดิตกำลังถูกส่งออกไปนอกระบบเครือข่าย และคุณรู้ดีว่ามันไม่ควรจะถูกส่งออกไป นั่นแหละ คุณเจอปัญหาแล้ว” — Sabo กล่าว

ที่มา: http://www.networkworld.com/article/2363306/security0/three-best-practices-for-reducing-the-risk-of-sql-injection-attacks.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เอ็นทีที ประกาศความเป็นผู้นำใน IDC MarketScape ด้านการให้บริการความปลอดภัยบนคลาวด์ ปี 2021 ของภูมิภาคเอเชียแปซิฟิก

NTT Ltd., ผู้ให้บริการเทคโนโลยีชั้นนำระดับโลก ได้รับการยอมรับด้านความเป็นผู้นำด้านการให้บริการด้านการรักษาความปลอดภัยบนคลาวด์ ปี 2021 ของภูมิภาคเอเชียแปซิฟิก  Leader in the IDC Marketscape: Asia/Pacific Cloud Security …

6 เหตุผล ทำไมต้องใช้ Sophos EDR หรือ XDR และโซลูชันไหนที่ใช่สำหรับธุรกิจคุณ

เป็นที่ทราบกันดีว่า Sophos Intercept X คือหนึ่งในโซลูชันด้าน Endpoint & Server Protection ที่ได้รับการยอมรับในระดับโลก ซึ่งล่าสุดได้ผสานรวมคุณสมบัติ EDR และ XDR เข้าไป …

Leave a Reply