Page 104 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 104
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย :บทที่ 9 Unix/Linux, Windows Server, Webmail, Website
เช่น ระบบฐานข้อมูล SQL โดยวิธี SQL Injection หรือ เรียก External Program ผ่าน
shell command ของระบบปฎิบัติการ เป็นต้น
ส่วนใหญ่แล้วแฮกเกอร์จะใช้วิธีนี้ในช่วงการทํา Authentication หรือการ Login เข้า
ระบบผ่านทาง Web Application เช่น Web Site บางแห่งชอบใช้ /admin ในการเข้าสู่
หน้า Admin ของ ระบบ ซึ่งเป็นช่องโหว่ให้แฮกเกอร์สามารถเดาได้เลยว่า เราใช้
http://www.mycompany.com/admin ในการเข้าไปจัดการบริหาร Web Site ดังนั้นเรา
จึงควรเปลี่ยนเป็นคําอื่นที่ไม่ใช่ /admin ก็จะช่วยได้มาก
วิธีการทํา SQL injection ก็คือ แฮกเกอร์จะใส่ชื่อ username อะไรก็ได้แต่ password
สําหรับการทํา SQL injection จะใส่เป็น Logic Statement ยกตัวอย่างเช่น or 1′ = 1
หรือ or 1″= 1
ถ้า Web Application ของเราไม่มีการเขียน Input Validation ดัก password แปลกๆ
แบบนี้ แฮกเกอร์ก็สามารถที่จะ bypass ระบบ Authentication ของเราและ Login เข้า
สู่ระบบเราโดยไม่ต้องรู้ username และ password ของเรามาก่อนเลย
วิธีการเจาะระบบด้วย SQL injection ยังมีอีกหลายแบบจากที่ยกตัวอย่างมา ซึ่งแฮก
เกอร์รุ่นใหม่สามารถเรียนรู้ได้ทางอินเทอร์เน็ตและวิธีการทําก็ไม่ยาก อย่างที่ยกตัวอย่าง
มาแล้ว watermark
- วิธีการป้ องกัน
นักพัฒนาระบบ (Web Application Developer) ควรจะระมัดระวัง input
string ที่มาจากทางฝั่ง Client (Web Browser) และไม่ควรใช้วิธีติดต่อกับระบบ
ภายนอกโดยไม่จําเป็น
ควรมีการกรองข้อมูลขาเข้าที่มาจาก Web Browser ผ่านมาทางผู้ใช้ Client
อย่างละเอียด และ ทําการกรองข้อมูลที่มีลักษณะที่เป็น SQL injection statement
ออกไปเสียก่อนที่จะส่งให้กับระบบฐานข้อมูล SQL ต่อไป
96
