ช่องโหว่ SQL Injection โผล่รุนแรงสุดในรอบ 3 ปี

หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน

DB Networks วิเคราะห์แนวโน้มและสถิติทางด้านความปลอดภัยของซอฟต์แวร์จาก National Vulnerability Database ฐานข้อมูลทางด้านช่องโหว่บนโลกไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลภายใต้การดูแลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ โดยได้ข้อสรุปว่า เมื่อปีที่ผ่านมา (2014) ได้ปรากฏช่องโหว่ SQL Injection บนซอฟต์แวร์มากที่สุดตั้งแต่ปี 2011 และมากกว่าปี 2013 ถึง 104%

sql_injection_stat_2014

“แม้ Project Manager จะพยายามอย่างสุดความสามารถ กระบวนการผลิตซอฟต์แวร์ก็ยังทำได้เฉียดเส้นตายและใช้งบประมาณเฉียดฉิวบ่อยครั้ง และเมื่อใกล้ถึงวันส่งมอบงาน การทดสอบด้านความปลอดภัยที่ควรเป็นสิ่งแรกที่ต้องทำกลับถูกโยนไว้ท้ายสุด ซึ่งก็แทบทำให้ไม่ได้ทดสอบอะไรเลย” — Dave Rosenberg CTO ของ DB Networks ให้ความเห็น

ปัญหานี้ถูกคาดหวังว่าจะมีการค้นพบช่องโหว่ SQL Injection และออกแพทช์มาเพื่ออุดช่องโหว่ดังกล่าวก่อนที่แฮ็คเกอร์จะรู้ตัวและเจาะระบบเข้ามาได้ ตัวอย่างปัญหา SQL Injection ที่เห็นได้ชัดในปีที่ผ่านมา คือ ช่องโหว่บน Drupal CMS ที่ส่งผลกระทบเว็บไซต์มากกว่า 1 ล้านเว็บไซต์ทั่วโลก

สำหรับปี 2015 นี้ ถึงแม้จะยังไม่สามารถยืนยันได้แน่ชัด แต่ก็พบว่าแนวโน้มช่องโหว่ SQL Injection จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง

ที่มา: http://www.net-security.org/secworld.php?id=17843


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

คลาวด์เซค เอเชีย ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก จัดสัมมนา Cloud’s Cyber Security Landscape 2022 [19 ส.ค.นี้ 13.00 น.]

ดร.วารินทร์ แคร่า ประธานเจ้าหน้าที่บริหาร สายงานยุทธศาสตร์องค์กร บริษัท คลาวด์เซค เอเชีย จำกัด ผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์และการวางระบบคลาวด์แบบครบวงจร ผนึกกำลัง 4 พันธมิตรชั้นนำระดับโลก อย่าง Sumo Logic, …

VMware เตือนผู้ใช้งาน Workspace ONE และ vRealize เร่งอัปเดตช่องโหว่ใหม่หลังมีโค้ดสาธิตเผยแพร่ออกมา

เมื่อช่วงสัปดาห์ก่อน VMware เจ้าตลาดด้าน Virtualization ได้ออกอัปเดตช่องโหว่ร้ายแรง พร้อมกับกลุ่มช่องโหว่อีกหลายรายการที่กระทบกับผลิตภัณฑ์ Workspace ONE, Identity Manager, vRealize และ Cloud Foundation ออกมา …