RSS

SQL Injection อีกแล้ว

18 Nov
ไอ้ Technic นี้เนี่ย มันมีมาเป็นชาติแล้ว แต่ว่ายังไงๆมันก็ยังเป็นช่องโหว่ทางความปลอดภัยที่มักจะใช้โจมตี
ได้อย่างเสมอ เหตุก็เพราะมาจากความบกพร่องในการเขียนโปรแกรมของเจ้าของ web ดังกล่าวที่ไม่ได้ทำ
การตรวจสอบอักขระที่เป็น Symbol
 
2 ปีก่อน ตอนที่นั่งขอแอบเรียนวิชา Computer Security ของภาคคอมพิวเตอร์ (ทั้งๆที่ผมอยู่ภาคไฟนะ 555)
ผมได้ลองใช้เทคนิคดังกล่าว เพื่อที่จะพยายามเจาะไปยัง website ต่างๆ ซึ่งจะเน้นก็เฉพาะ website
ของไทยเท่านั้น แล้วพบว่า จำนวนที่ตรวจพบนั้นอยู่ในระดับน้อย เพียงประมาณ 10-15% ของ website ทั้งหมด
ประมาณ 200 แห่งที่ทดสอบ แต่ทว่า ระดับความวิกฤตของปัญหาดังกล่าวอยู่ในระดับ… สูง…
 
เหตุก็เพราะ ปัญหาที่พบนั้นสามารถส่งผลกระทบในระดับที่เรียกว่าร้ายแรง ไม่ใช่เพราะความปลอดภัยของ site
ต่างๆ หรือ อันตรายที่จะทำให้ site แห่งนั้นล่มได้ หรือ ข้อมูลความลับที่จะรั่วไหลไปสู่ Hacker หรือคนภายนอก
แต่เพราะ ผลกระทบที่สามารถเปลี่ยนแปลงชีวิตของบุคคล ผู้ที่เข้าใช้บริการเวบไซต์แห่งดังกล่าวได้ โดยเฉพาะอย่าง
ยิ่ง เรื่องของการเรียน/ การงาน หรือแม้กระทั่งการสอบเก็บคะแนนเพื่อศึกษาต่อในมหาวิทยาลัยชื่อดัง เพราะเวบไซต์
เหล่านั้นเปิดโอกาสให้ Hacker สามารถเจาะเข้าไปเปลี่ยน แก้ไข รวมถึงกระทั่งลบข้อมูลดังกล่าวทั้งหมดได้ โดย
ที่ยากต่อการตรวจจับ ลองคิดดูเล่นๆ ถ้ามีใครคนหนึ่งสามารถเข้าไปลบคะแนนในเวบไซต์คะแนนสอบ Entrance
ของคุณได้ คุณก็คงจะนั่งไม่ติดเก้าอี้ใช่ไหมครับ
 
จนกระทั่งเมื่อชั่วโมงก่อน มีน้องคนหนึ่งได้สอบถามผมเกี่ยวกับเรื่องเปิดไฟล์เฉลยข้อสอบ SMART ของ ธรรมศาสตร์
ซึ่งมีการใช้ Macro และต้องมีการปรับเปลี่ยนระดับของ security ไปที่ Low เพื่อที่สามารถใช้งาน macro ดังกล่าว
ได้โดยน้องเขาได้ส่ง link คือ http://smart.bus.tu.ac.th/MainPage.mht ด้วยความอยากรู้ว่า ไอ้ SMART
เนี่ยคืออะไร แล้วทดสอบอะไร ก็บังเอิญไปเจอ หน้าแรกของ website ที่มีให้ user สามารถ login เพื่อสมัครสอบ
ดูผลคะแนน จ่ายเงิน และอื่นๆ ก็เลยเอามุกเดิมๆ มองใช้อีกที … มันได้ผลแฮะ… ให้ตายสิ พระเจ้าจอร์จ ชีวิตของ
นักเรียนหลายร้อยคนต้องมาเสี่ยงกับการกระทำของ Hacker เนี่ยนะ
 
สิ่งหนึ่งที่ผมอยากทำคือการเขียนเมล์ไปแจ้งเตือนแก่ webmaster ของ website แต่นั่นหมายถึงการประกาศตัว
ว่าคือ hacker ผู้หนึ่งที่ได้ถลุง website นั้นมาแล้ว และนั่นคือความเสี่ยงของคุณที่จะโดนเล่นงานได้เพราะ
มันอาจจะผิดกฏหมาย แต่ในทางตรงข้าม ก็อาจจะได้รับคำสรรเสริญเช่นเดียวกัน ขึ้นอยู่กับความนึกคิดและเหตุผล
ของผู้ที่ได้รับข้อมูลข่าวสารนั้น และนี่ละคือจุดบอดของการหวังดีของใครหลายๆคนที่ มักจะลงเอยได้ไม่ดีเท่าไร
(เพราะล่าสุดเนี่ย ผมก็เพิ่งเจอไอ้แขกอินเดียตัวหนึ่งที่ไร้สมองกำลังเล่นงานเพราะจากความหวังดีเนี่ยล่ะ… เยี่ยมจริงๆ)
ซึ่งรวมถึงตัวผมด้วยว่า หากตราบใดที่ผู้แจ้งนั้นไม่ได้รับความยืนยันในสถานภาพ มันก็ไม่ควรที่จะเข้าไปเสี่ยงจะดีกว่า
เพราะการกระทำดังกล่าวแม้ว่าจะเป็นเหมือนการทำบุญ ให้ใครหลายคนได้รับผลบุญนี้ แต่สิ่งที่คุณจะได้รับคือไม่เสมอ
ก็เข้าตัว อย่างที่พระพุทธเจ้าเคยบอกไงว่า การทำบุญนั้น ต้องทำให้พอดีตัว ทำแล้วต้องไม่ทำให้ตัวเองเดือดร้อน สิ่งที่
ได้รับนั้นถึงจะเรียนกว่าบุญอย่างแท้จริง
 
อย่างน้อยสุด สิ่งที่ผมได้ก็คือ เอามาปะไว้ที่ Blog ผมดีกว่า หากสักวันหนึ่งผมตัดสินใจแจ้งไป ก็จะได้มีข้อมูลยืนยันถึง
จุดยืนดังกล่าวอันนี้ และถ้าโชคดีหน่อย webmaster อาจจะมาเจอเองก็ย่อมเป็นสิ่งที่ดี แต่ในทางตรงกันข้าม คือ
เป็น Hacker ล่ะที่มาเจอ…. ก็คงได้แต่หวังว่าคนที่เข้ามาอ่าน Blog ผม คงจะมีศีลธรรม/ จริยธรรม เพียงพอที่จะไม่เข้า
ไปเปลี่ยนแปลงข้อมูลของผู้ที่ไม่รู้อิโหน่อิเหน่ ในเวบไซต์ดังกลาวล่ะนะ
 
เวบไซต์ที่ยังตกอยู่ในสภาวะดังกล่าว มีดังต่อไปนี้
 
http://recruit.dtac.co.th/ – เวบไซต์สมัครงานของ DTAC
http://smart.bus.tu.ac.th/ – เวบไซต์ ศูนย์ทดสอบทักษะด้านการจัดการ แห่ง มหาวิทยาลัยธรรมศาสตร์
http://careercenter.acc.chula.ac.th/ – เวบไซต์ Career Center ของ คณะวิศวกรรมศาสตร์และการบัญชี
เอ้ย…ไม่ใช่ คณะพาณิชยการและการบัญชี จุฬา (ที่ช่องโหว่เยอะมากๆนอกหเนือจาก SQL Injection ด้วย)
 
 
Jonathan Job
 
 
Advertisements
 
Leave a comment

Posted by on November 18, 2006 in Network Security

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: