ช่องโหว่ SQL Injection โผล่รุนแรงสุดในรอบ 3 ปี

หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน

DB Networks วิเคราะห์แนวโน้มและสถิติทางด้านความปลอดภัยของซอฟต์แวร์จาก National Vulnerability Database ฐานข้อมูลทางด้านช่องโหว่บนโลกไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลภายใต้การดูแลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ โดยได้ข้อสรุปว่า เมื่อปีที่ผ่านมา (2014) ได้ปรากฏช่องโหว่ SQL Injection บนซอฟต์แวร์มากที่สุดตั้งแต่ปี 2011 และมากกว่าปี 2013 ถึง 104%

sql_injection_stat_2014

“แม้ Project Manager จะพยายามอย่างสุดความสามารถ กระบวนการผลิตซอฟต์แวร์ก็ยังทำได้เฉียดเส้นตายและใช้งบประมาณเฉียดฉิวบ่อยครั้ง และเมื่อใกล้ถึงวันส่งมอบงาน การทดสอบด้านความปลอดภัยที่ควรเป็นสิ่งแรกที่ต้องทำกลับถูกโยนไว้ท้ายสุด ซึ่งก็แทบทำให้ไม่ได้ทดสอบอะไรเลย” — Dave Rosenberg CTO ของ DB Networks ให้ความเห็น

ปัญหานี้ถูกคาดหวังว่าจะมีการค้นพบช่องโหว่ SQL Injection และออกแพทช์มาเพื่ออุดช่องโหว่ดังกล่าวก่อนที่แฮ็คเกอร์จะรู้ตัวและเจาะระบบเข้ามาได้ ตัวอย่างปัญหา SQL Injection ที่เห็นได้ชัดในปีที่ผ่านมา คือ ช่องโหว่บน Drupal CMS ที่ส่งผลกระทบเว็บไซต์มากกว่า 1 ล้านเว็บไซต์ทั่วโลก

สำหรับปี 2015 นี้ ถึงแม้จะยังไม่สามารถยืนยันได้แน่ชัด แต่ก็พบว่าแนวโน้มช่องโหว่ SQL Injection จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง

ที่มา: http://www.net-security.org/secworld.php?id=17843

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …