บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017
ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน
ที่มา: theregister
You must be logged in to post a comment.