นักวิจัยด้านความปลอดภัย ตีพิมพ์ paper ข้อมูลทางด้านเทคนิค การโจมตี แบบใหม่

(IDG News Service วันที่ 25 เมษายน 2551) - นาย David Litchfield นักวิจัยด้านความปลอดภัย ตีพิมพ์ paper ข้อมูลทางด้านเทคนิค การโจมตี แบบใหม่ ที่ แฮคเกอร์ สามารถใช้โจมตีฐานข้อมูลของ ออราเคิล ได้การ โจมตีนี้ เรียกว่า "lateral SQL injection" ซึ่งเป็นการโจมตีชนิดนี้ สามารถเพิ่มสิทธิตัวเองเป็น database administrator (DBA) บน Oracle Server เพื่อที่จะลบข้อมูล หรือ แม้กระทั่ง ติดตั้งซอฟต์แวร์เข้าไปใหม่ก็ได้David Litchfield เปิดเผยวิธีการโจมตีชนิดนี้ในการประชุม Black Hat Washington conference เมื่อเดือนกุมภาพันธ์ที่ผ่านมา แต่เพิ่งตีพิมพ์ ออกเป็น paper ข้อมูลทางเทคนิค เมื่อ พฤหัส 24 เมษายนนาย David Litchfield เป็นนักวิจัยที่มีชื่อเสียง จากการมีผลงานตีพิมพ์ รายละเอียดของ SQL Slammer Worm ที่ออกโจมตี ฐานข้อมูล Microsoft's SQL Server เมื่อปี พ.ศ. 2546 ( อ่าน รายละเอียด SQL Slammer Worm ที่นี่ )โดยทั่วไปแล้ว วิธี SQL injection ผู้จู่โจมจะสร้างการเขียนคำสั่งแทรกเข้าไปใน SQL ที่ไปสั่งงานฐานข้อมูล ซึ่งก่อนหน้านี้ ผู้เชี่ยวชาญด้านความปลอดภัย คิดว่าวิธี SQL injection ได้ผลเมื่อผู้จู่โจมใส่ character บางตัวเข้าไปในฐานข้อมูลเท่านั้น (ดูรายละเอียด SQL injection และ วิธีป้องกัน ที่นี่ ) แต่นาย David Litchfield แสดงให้เห็นว่าการจู่โจมชนิดใหม่นี้ได้ผลกับ datatype ชนิด date (วันที่) และ number (ตัวเลข) ด้วยสำหรับ เป้าหมายการโจมตีนี้ คือ โปรแกรมที่เขียนด้วยภาษา Procedural Language/SQL programming language (PL/SQL) ซึ่งใช้กันในหมู่นักพัฒนาโปรแกรมออราเคิลDavid Litchfield ไม่แน่ใจว่า มีการโจมตีจุดอ่อน lateral SQL injection แพร่หลายแค่ไหน แต่เขามั่นใจว่า การโจมตีแบบนี้ในบางสถานการณ์ จะทำให้เกิดความเสียหายอย่างใหญ่หลวงได้"ถ้าคุณเขียนแอพพลิเคชั่นของตัวเองบนออราเคิล ..แน่นอน..คุณอาจกำลังเขียนโค้ดโปรแกรมที่เป็นช่องโหว่ได้" Litchfield กล่าวผู้ เขียนโปรแกรมฐานข้อมูล ควรจะย้อนไปตรวจดูโค้ดที่ตัวเองเขียน เพื่อให้แน่ใจว่า ข้อมูลถูกโปรเซสอย่างถูกต้อง และ ไม่สามารถถูกแทรกคำสั่ง SQL injection ได้สำหรับทาง บริษัท ออราเคิล (สำนักงานใหญ่) ยังไม่มีการออกความเห็นเกี่ยวกับเรื่องนี้แต่อย่างใด(เนื่อง จาก ยังไม่มีการแถลงวิธีการแก้ไขช่องโหว่นี้ จากทางผู้เชี่ยวชาญด้านความปลอดภัย หรือ จากทางออราเคิล เอง ทางเวบ oracleskill.com จึงขออภัยที่จะยังไม่เผยแพร่ รายละเอียดทางเทคนิคการโจมตีแบบใหม่นี้ ภายในเวบไซต์ )