TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน
DB Networks วิเคราะห์แนวโน้มและสถิติทางด้านความปลอดภัยของซอฟต์แวร์จาก National Vulnerability Database ฐานข้อมูลทางด้านช่องโหว่บนโลกไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลภายใต้การดูแลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ โดยได้ข้อสรุปว่า เมื่อปีที่ผ่านมา (2014) ได้ปรากฏช่องโหว่ SQL Injection บนซอฟต์แวร์มากที่สุดตั้งแต่ปี 2011 และมากกว่าปี 2013 ถึง 104%
“แม้ Project Manager จะพยายามอย่างสุดความสามารถ กระบวนการผลิตซอฟต์แวร์ก็ยังทำได้เฉียดเส้นตายและใช้งบประมาณเฉียดฉิวบ่อยครั้ง และเมื่อใกล้ถึงวันส่งมอบงาน การทดสอบด้านความปลอดภัยที่ควรเป็นสิ่งแรกที่ต้องทำกลับถูกโยนไว้ท้ายสุด ซึ่งก็แทบทำให้ไม่ได้ทดสอบอะไรเลย” — Dave Rosenberg CTO ของ DB Networks ให้ความเห็น
ปัญหานี้ถูกคาดหวังว่าจะมีการค้นพบช่องโหว่ SQL Injection และออกแพทช์มาเพื่ออุดช่องโหว่ดังกล่าวก่อนที่แฮ็คเกอร์จะรู้ตัวและเจาะระบบเข้ามาได้ ตัวอย่างปัญหา SQL Injection ที่เห็นได้ชัดในปีที่ผ่านมา คือ ช่องโหว่บน Drupal CMS ที่ส่งผลกระทบเว็บไซต์มากกว่า 1 ล้านเว็บไซต์ทั่วโลก
สำหรับปี 2015 นี้ ถึงแม้จะยังไม่สามารถยืนยันได้แน่ชัด แต่ก็พบว่าแนวโน้มช่องโหว่ SQL Injection จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง
