Clear
Lead Graphic Papers

ข่าวสั้น

แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด SQL injection (; DROP TABLE "COMPANIES";-- LTD)

เมื่อวันที่ 29 ธันวาคม 2559 ในสหราชอาณาจักร มีผู้จดทะเบียนชื่อบริษัทโดยตั้งเป็นโค้ด SQL injection (ชื่อบริษัท ; DROP TABLE "COMPANIES";-- LTD) (ดูรายละเอียดเพิ่มเติมได้จากเว็บไซต์ Companies House https://beta.companieshouse.gov.uk/company/10542519)

SQL injection เป็นเทคนิคการโจมตีเว็บไซต์ที่ใช้งานระบบฐานข้อมูลที่รองรับโค้ด SQL โดยเป็นการใส่ข้อมูลที่เป็นคำสั่ง SQL ลงไปในช่องรับ input ของเว็บไซต์เพื่อล็อกอินเข้าใช้งานโดยไม่ต้องใส่รหัสผ่าน อ่านข้อมูลทั้งหมด เปลี่ยนแปลง หรือทำลายฐานข้อมูลได้ หลายเว็บไซต์ที่ถูกพัฒนาขึ้นโดยไม่มีการตรวจสอบข้อมูลที่รับเข้าสามารถถูกโจมตีได้ด้วยวิธีนี้ (อ่านข้อมูลเพิ่มเติมและวิธีป้องกันได้จากบทความของไทยเซิร์ต https://www.thaicert.or.th/papers/technical/2012/pa2012te002.html)

ถึงแม้การตั้งชื่อบริษัทในลักษณะนี้อาจมีจุดประสงค์เพื่อเรียกความสนใจ แต่ก็อาจมีผลกระทบกับบางระบบที่มีช่องโหว่ SQL injection ได้ นี่ไม่ใช่ครั้งแรกที่มีการตั้งชื่อบริษัทในลักษณะนี้ เพราะเมื่อปี 2557 ในประเทศโปแลนด์ก็มีการจดทะเบียนชื่อบริษัท Dariusz Jakubowski x’; DROP TABLE users; SELECT ‘1 มาแล้วเช่นกัน

วันที่: 2017-01-05 | ที่มา: Schneier on Security , Reddit, Niebezpiecznik | Share on Facebook Share on Twitter Share on Google+

Clear