กรณีศึกษา SQL Injection เว็บกระทรวงไอซีที

นั่นไง หลังจากบทความที่แล้วที่ผมเขียนเรื่อง กรณีศึกษา ช่องโหว่ของเว็บไซต์กระทรวงไอซีที  มาคราวนี้ผมดันซนไม่เข้าท่าอีกแล้ว ไม่รู้อะไรอีกแล้วครับ ก่อนจะหลับตาลงไปนั้น ในหัวของผมก็นึก อยากจะช่วยพี่ ICT เขาอ่ะครับ เพราะเว็บของพี่แก เคยถูก Hack มาแล้ว งานนี้ผมก็เลยขอช่วยพี่เขาตรวจสอบระบบหน่อยแล้วกัน


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


ผมขอเรียกกรณีนี้ว่า การแฮกระบบเพื่อทดสอบ นะครับ

คือผมจำไม่ได้อ่ะครับ ว่าผมเอา URL มาจากไหน แต่รู้สึกน่าจะมาจากบทความที่แล้ว ที่พอผมตื่นขึ้นมา ผมลองใช้เครื่องมือที่ชื่อ nikto ตรวจสอบเว็บที่ผมได้ไปซนดังกล่าวนั้น เพื่อดูว่า ยังมีช่องโหว่อีกไหม จะได้รายงานพี่ๆ ICT ครั้งเีดียวไปเลย

ซึ่งวิธีการใช้โปรแกรม nikto เอาไว้ผมอารมณ์ดี ผมจะเขียนให้แล้วกันนะครับ  (ความจริงขี้เกียจเขียนตั้งหาก!!)

เอาล่ะเรามาเข้าเรื่องกันต่อดีกว่า ซึ่งก่อนอื่นผมก็ขอเล่าก่อนนะครับ ว่าผมไปซนอะไรมาบ้าง

ขั้นแรก หลังจากที่ผมได้ URL มาผมก็จัดการตรวจสอบด้วยโปรแกรมสุดโปรดของผมเลยครับ nikto นั้นเอง ^^

(รูปที่ผมแสดงในบทความนี้ ผมขอเซนเซอร์ URL นะครับ เผื่อมีใครแผนสูง เข้ามาอ่านเนื้อหานี้ แล้วเกิดอารมณ์อยากทำลายระบบขึ้นมา)

จากรูปข้างบนจะเห็นได้ว่า เว็บไซต์ดังกล่าวใช้ Server Microsoft-IIS/6.0 และที่น่าสนใจคือ เว็บไซต์ดังกล่าวพัฒนาด้วยภาษา ASP

ซึ่งผมลองมานั่งคิดย้อนไปย้อนมา ในบทความก่อนหน้าที่ชื่อว่า กรณีศึกษา ช่องโหว่ของเว็บไซต์กระทรวงไอซีที  คนที่แฮกก่อนหน้าผม คงใช้ช่องโหว่ Sql Injection แน่เลย

เพราะว่า ASP เป็นภาษาหนึ่งที่ผมกล้าบอกได้เลยว่า ถ้าคุณได้ลองใช้ช่องโหว่ Sql Injection แล้ว โคตรรั่วเลยอ่ะครับ ไม่รู้ว่ามันเกิดมาเพื่อสิ่งนี้หรือเปล่า …. ซึ่งงานนี้ภาษา PHP รอดครับ เพราะเขาได้แก้ไขในเรื่องของ sql comand นี้้แล้ว

เอาล่ะ หลังจากที่ผมวิเคราะห์ระบบดังกล่าวแล้ว ผมคิดว่า ระบบของเว็บไซต์นี้ก็อาจจะมีโอกาสทำ Sql Injection ได้เช่นกัน จึงไม่รอช้า นั่งเคาะไปเคาะมา …. อยากจะกรี๊ดออกมาให้ลั่นทุ่ง… หลุดเข้าไปได้จริงๆด้วยครับพี่้น้อง T^T

และผมก็ขอลองซนนิดนึง (ผมสาบานนะครับ ว่าไม่ได้ทำอะไรมากเลย ผมไม่ได้เจตนาร้ายครับ)

จ๊ากๆๆๆๆๆ เปิดไปได้ 2 หน้า เจอข้อมูลหน้านี้ ผมรีับปิดและออกมาอย่างด่วนเลยอ่ะครับ

เพราะจากการประเมินแล้วว่า ขืนผมซนต่อไป คงติดคุกหลายปีแน่ เพราะข้อมูลพี่แก มีแต่บิ๊กๆ ทั้งนั้น -*-

———————————————

เอาล่ะ ผมขอสรุปความเสียหายเลยแล้วกันนะครับ

ความจริง Bug เกี่ยวกับ Sql Injection นี่ถือว่าร้ายแรงมาก แต่ก็มีบางคนที่ยังไม่รู้ และบางคนที่รู้แล้วแต่ไม่สนใจ

โดยเฉพาะ พวกโดเมนเนมตระกูล .go.th และ พวก .co.th เนี้ย หลุดไปได้บ่อยเหลือเกิน

ทำไมเวลาพัฒนาเว็บแอพพลิเคชันถึงไม่รู้จักหาวิธีป้องกัน Sql Injection กันล่ะครับ มันไม่ใช่เรื่องยากอะไรเลย

ยังไงก็ขอฝากข้อคิดไว้นะครับ ว่าเรื่องพวกนี้ ถือเป็นเรื่องสำคัญอีกอย่างหนึ่ง

ผมอยากจะบอกว่า ต่างประเทศเขาให้ความสำคัญกับ Bug ตัวนี้ เป็นอันดับแรกเลยครับ

เพราะรูปแบบการทำ Sql Injection มันมีหลายรูปแบบครับ ไม่ได้กำหนดว่า ใช้คำสั่งนี้แล้วไม่ผ่าน แสดงว่าทำ Sql Injection ไม่สำเร็จ แต่ผมอยากจะบอกว่าการทำ Sql Injection นั้น ยังมีอีกหลายวิธี หลายคำสั่งครับ ถ้าคุณคิดว่า เว็บของคุณเจ๋งพอที่จะป้องกัน Sql Injection ได้ล่ะก็ ผมแนะนำลองไปค้นหาคำสั่ง Sql Injection จากเว็บต่างประเทศดูครับ มีมากกว่า 100 คำสั่ง ให้ท่านเลือกใช้ ^^

————————————————-

สำหรับบทความนี้ก็อีกเช่นเดิมครับ ผมไม่ได้มีเจตร้ายต่อกระทรวง ICT นะครับ ผมได้ทำการรายงานสิ่งที่ผมเจอในวันนี้ให้เขาแล้ว

 

7 comments

  1. star-hero Reply

    ชั่งกล้าเล่นนะคุณ นับถือๆ

  2. box Reply

    nikto รันใน วินโด หรอพี่ เคยเห็น ใน linux เเต่ไม่เคยจับเลย เดี๋ยวลองมั้งดีกว่า

    • iDatabase Post authorReply

      ตามภาพที่เห็นครับ พี่ใช้บน Windows OS
      แบบว่าพี่คงไม่ลงทุนโกหกตัดต่อภาพหรอกนะครับ ฮ่าๆๆๆ

  3. Anonymous Reply

    ขอบคุณครับ ตอนนี้กำลังศึกษาเกี่ยวกับ พวก security เว็บไซต์ อยุ่ ผมมือใหม่ครับ อ่านบทความนี้แล้ว พอรู้เรื่องขึ้นนิสสนึง 😀

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.