ผลศึกษาพบช่องโหว่บนเว็บยอดนิยมยังเหมือนเดิมตลอด 9 ปีที่ผ่านมา

NCC Group ผู้ให้บริการประกันภัยของข้อมูลได้จัดทำรายงานที่เกี่ยวกับช่องโหว่ของเว็บตลอด 9 ปีที่ผ่านมาพบว่าช่องโหว่ยอดนิยมอันดับหนึ่งคือ XSS หรือ cross-site-scripting ถึงแม้ว่าช่องโหว่นี้จะเป็นเรื่องเก่าที่เข้าใจกันมานานแล้วก็ตาม

XSS คือช่องโหว่ที่ทำให้ผู้โจมตีสามารถ inject โค้ดอันตรายเข้ามายังเว็บไซต์หรือบราวน์เซอร์ของเหยื่อ ซึ่งครองแชมป์สูงสุดถึง 18% จากช่องโหว่ทั้งหมดตลอดข้อมูล 9 ปีของการศึกษา สวนทางกับช่องโหว่อื่นๆ ที่มีสถิติน้อยลง เช่น Format String (ช่องโหว่ที่รับคำสั่งแอปพลิเคชันในช่อง input ไปประมวลผลได้) หรือช่องโหว่ที่เกี่ยวข้องกับหน่วยความจำ Matt Lewis ผู้อำนวยการของ NCC Group กล่าวว่า “ช่องโหว่หลายอย่างเลือนหายไปตามกาลเวลาแต่ XSS มีมานานกว่า 20 ปีแล้ว เราควรจะให้ความสำคัญและศึกษาช่องโหว่เหล่านี้เป็นส่วนหนึ่งในกระบวนการพัฒนาซอฟต์แวร์

นอกจากนี้ผลการศึกษายังได้เผยถึงช่องโหว่กว่า 53 ประเภทและพบว่ามีจำนวนเพิ่มขึ้นในแอปพลิเคชันและฮาร์ดแวร์ที่ซับซ้อน เช่น Deserailization (ใช้ข้อมูลที่ไม่คาดคิดกับลอจิกของแอปพลิเคชันที่อาจนำไปสู่การเกิด DoS และ Execute โค้ด) หรือ การควบคุมด้วยการพิสูจน์ตัวตนทำได้ไม่ดีพอ เป็นต้น โดยในงานรายงานยังได้พบว่ามีจำนวนของช่องโหว่เพิ่มขึ้นใน Embedded System และ IoT อีกด้วย ซึ่ง Matt กล่าวปิดท้ายว่า “เราค้นพบวิธีการโจมตีแบบใหม่หลากหลายวิธีเช่นเดียวกับที่แอปพลิเคชันและระบบมีความซับซ้อนมากยิ่งขึ้น ดังนั้นธุรกิจต่างๆ ควรจะต้องลงทุนกับการพัฒนาทักษะด้านการรักษาความมั่นคงปลอดภัยและการบรรเทาปัญหาให้มากกว่านี้

ที่มา : https://www.helpnetsecurity.com/2018/07/27/web-based-vulnerabilities-still-prevalent/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tuskira เปิดตัวพร้อมทุน 28.5 ล้านดอลลาร์ ยกระดับความมั่นคงปลอดภัยไซเบอร์ด้วย AI

สตาร์ทอัพด้านการตรวจจับภัยคุกคาม Tuskira เปิดตัวพร้อมระดมทุน 28.5 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Intel Capital และ SYN Ventures มุ่งเร่งนวัตกรรม AI การผสานระบบ และยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรด้วยกลยุทธ์เชิงรุกที่รวมเครื่องมือเข้าด้วยกันและลดความเสี่ยงแบบเรียลไทม์

Dell ชี้ ภูมิภาค APJ ยังมีโอกาสในด้าน AI อีกมาก พร้อมเผยคาดการณ์ 5 เทรนด์ AI แห่งปี 2025 

แม้ว่า Generative AI กำลังเริ่มมีการปรับใช้ในภาคธุรกิจอย่างจริงจังมากขึ้น แต่ก็ต้องยอมรับว่าวิวัฒนาการของเทคโนโลยีนั้นยังดูไม่ได้แผ่วหรือว่าช้าลงไปแม้แต่น้อย เพราะเราสามารถเห็น Breakthrough หรือนวัตกรรมใหม่ ๆ ออกมาจากอุตสาหกรรมได้ภายในระยะเวลาไม่กี่เดือนเท่านั้น หรือบางครั้งอาจจะเป็นรายสัปดาห์ก็ว่าได้ จากงานแถลงข่าว Dell Technologies (Dell) …