ช่องโหว่ SQL Injection โผล่รุนแรงสุดในรอบ 3 ปี

หลังจากที่ปริมาณช่องโหว่ SQL Injection ใน Software Package ลดลงอย่างต่อเนื่องตั้งแต่ปี 2011 ในปี 2014 ที่ผ่านมา นักวิจัยของ DB Networks บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดังของสหรัฐฯ ค้นพบว่าปริมาณช่องโหว่ SQL Injection นั้น อยู่ๆก็ได้เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งคาดว่าเกิดจากกระบวนการพัฒนาซอฟต์แวร์ในปัจจุบัน ที่เน้นทำให้เสร็จตามเส้นตาย และถูกบีบด้วยปริมาณต้นทุนการผลิต ส่งผลให้ระบบรักษาความปลอดภัยถูกลดความสำคัญลงไป ทั้งๆที่เป็นหนึ่งในปัจจัยสำคัญในปัจจุบัน

DB Networks วิเคราะห์แนวโน้มและสถิติทางด้านความปลอดภัยของซอฟต์แวร์จาก National Vulnerability Database ฐานข้อมูลทางด้านช่องโหว่บนโลกไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลภายใต้การดูแลของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ โดยได้ข้อสรุปว่า เมื่อปีที่ผ่านมา (2014) ได้ปรากฏช่องโหว่ SQL Injection บนซอฟต์แวร์มากที่สุดตั้งแต่ปี 2011 และมากกว่าปี 2013 ถึง 104%

“แม้ Project Manager จะพยายามอย่างสุดความสามารถ กระบวนการผลิตซอฟต์แวร์ก็ยังทำได้เฉียดเส้นตายและใช้งบประมาณเฉียดฉิวบ่อยครั้ง และเมื่อใกล้ถึงวันส่งมอบงาน การทดสอบด้านความปลอดภัยที่ควรเป็นสิ่งแรกที่ต้องทำกลับถูกโยนไว้ท้ายสุด ซึ่งก็แทบทำให้ไม่ได้ทดสอบอะไรเลย” — Dave Rosenberg CTO ของ DB Networks ให้ความเห็น

ปัญหานี้ถูกคาดหวังว่าจะมีการค้นพบช่องโหว่ SQL Injection และออกแพทช์มาเพื่ออุดช่องโหว่ดังกล่าวก่อนที่แฮ็คเกอร์จะรู้ตัวและเจาะระบบเข้ามาได้ ตัวอย่างปัญหา SQL Injection ที่เห็นได้ชัดในปีที่ผ่านมา คือ ช่องโหว่บน Drupal CMS ที่ส่งผลกระทบเว็บไซต์มากกว่า 1 ล้านเว็บไซต์ทั่วโลก

สำหรับปี 2015 นี้ ถึงแม้จะยังไม่สามารถยืนยันได้แน่ชัด แต่ก็พบว่าแนวโน้มช่องโหว่ SQL Injection จะยังคงเพิ่มขึ้นอย่างต่อเนื่อง

ที่มา: http://www.net-security.org/secworld.php?id=17843