Breaking News

ช่องโหว่ SQL Injection โผล่รุนแรงสุดในรอบ 3 ปี

หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน

DB Networks วิเคราะห์แนวโน้มและสถิติทางด้านความปลอดภัยของซอฟต์แวร์จาก National Vulnerability Database ฐานข้อมูลทางด้านช่องโหว่บนโลกไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลภายใต้การดูแลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ โดยได้ข้อสรุปว่า เมื่อปีที่ผ่านมา (2014) ได้ปรากฏช่องโหว่ SQL Injection บนซอฟต์แวร์มากที่สุดตั้งแต่ปี 2011 และมากกว่าปี 2013 ถึง 104%

sql_injection_stat_2014

“แม้ Project Manager จะพยายามอย่างสุดความสามารถ กระบวนการผลิตซอฟต์แวร์ก็ยังทำได้เฉียดเส้นตายและใช้งบประมาณเฉียดฉิวบ่อยครั้ง และเมื่อใกล้ถึงวันส่งมอบงาน การทดสอบด้านความปลอดภัยที่ควรเป็นสิ่งแรกที่ต้องทำกลับถูกโยนไว้ท้ายสุด ซึ่งก็แทบทำให้ไม่ได้ทดสอบอะไรเลย” — Dave Rosenberg CTO ของ DB Networks ให้ความเห็น

ปัญหานี้ถูกคาดหวังว่าจะมีการค้นพบช่องโหว่ SQL Injection และออกแพทช์มาเพื่ออุดช่องโหว่ดังกล่าวก่อนที่แฮ็คเกอร์จะรู้ตัวและเจาะระบบเข้ามาได้ ตัวอย่างปัญหา SQL Injection ที่เห็นได้ชัดในปีที่ผ่านมา คือ ช่องโหว่บน Drupal CMS ที่ส่งผลกระทบเว็บไซต์มากกว่า 1 ล้านเว็บไซต์ทั่วโลก

สำหรับปี 2015 นี้ ถึงแม้จะยังไม่สามารถยืนยันได้แน่ชัด แต่ก็พบว่าแนวโน้มช่องโหว่ SQL Injection จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง

ที่มา: http://www.net-security.org/secworld.php?id=17843



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Facebook เปิดตัว Pysa เครื่องมือ Open Source Static Analysis เสริมความมั่นคงปลอดภัยให้โค้ด Python

Facebook ได้ออกมาประกาศเปิด Open Source ให้กับ Pysa เครื่องมือ Static Analysis Tool ที่ Facebook ได้พัฒนาขึ้นมาเพื่อตรวจจับและป้องกันประเด็นด้าน Security และ Privacy ภายในโค้ดภาษา Python

มือดีเผยแพร่ข้อมูลภายในของ Intel ขนาดกว่า 20 GB

Till Kottmann วิศวกรซอฟต์แวร์ชาวสวิสซ์ได้อัปโหลดข้อมูลภายในของ Intel โดยอ้างว่าตนได้รับการติดต่อจากแฮ็กเกอร์ซึ่งอ้างว่าลอบขโมยมาได้