เมื่อกลางปีที่แล้ว Paypal ประกาศล่าบั๊กความปลอดภัยในเว็บและให้เงินรางวัลแก่ผู้แจ้งบั๊ก วันนี้รายละเอียดบั๊กตัวแรกก็ออกมาแล้ว โดยเป็นบั๊ก SQL Injection ที่แจ้งไปตั้งแต่เดือนสิงหาคมที่ผ่านมา (เพียงเดือนกว่าๆ หลังประกาศล่าบั๊ก)
บั๊กนี้อยู่ในส่วนการยืนยันอีเมล โดยลิงก์ที่ Paypal ส่งไปยังอีเมลผู้ใช้เพื่อยืนยันมีพารามิเตอร์ login_confirm_number_id และ login_confirm_number ที่สามารถถูกโจมตีด้วย SQL Injection ได้
รายงานปัญหานี้ไปถึง Paypal เมื่อวันที่ 1 สิงหาคมที่ผ่านมา ทาง Paypal ตอบกลับในวันที่ 7 สิงหาคม จนกระทั่งแก้ปัญหาจริงๆ เมื่อวันที่ 22 มกราคมที่ผ่านมา ผู้พบบั๊กจึงเผยแพร่รายละเอียดทั้งหมด
ที่มา - The Register, SecLists
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
จากกรณีนี้ผมสงสัยว่า ...
ถ้าเราพบปัญหาและแจ้งไปยังผู้พัฒนาแล้ว แต่ผู้พัฒนาไม่แก้ภายในระยะเวลาที่เหมาะสม เราจึงเปิดเผยบั๊กนั่นแก้คนทั่วไป เราผิดกฎหมายประเทศไทยและในมาตราใดหรือไม่ครับ?
ไม่มีกฎหมายชัดเจนนะครับ โดยส่วนมากกฎหมายอาชญากรรมคอมพิวเตอร์มักยกเว้นให้กับการทำวิจัยอยู่แล้ว (เช่นการนำเสนอบั๊กตามงานประชุมวิชาการด้านความปลอดภัย)
กรณีที่ใช้กันคือ US-CERT ระบุว่าผู้ผลิตต้อง "ติดต่อกลับ" ภายใน 45 วัน ส่วนจะขอเวลาแก้ไขหรือไม่อย่างไรก็ดูตามความเหมาะสม
ของไทยใกล้เคียงสุดน่าจะเป็นมาตรา 6 ระบุเพียง ว่าเป็นการกระทำ "โดยมิชอบ" เท่านั้น ยังไม่แน่ชัดว่า การเผยแพร่เพื่อการศึกษานี่จะนับว่า "มิชอบ" รึเปล่า คงดูการตีความเก่าๆ หรือรอจนมีคดีไปถึงศาลฎีกาให้เป็นบรรทัดฐาน
lewcpe.com, @wasonliw
ขอบคุณครับ
โห SQL Injection เลยเรอะ พลาดได้ไง
ก็มีหลุดกันได้
หะ!!!
Blognone = 138.1 news/w เยอะมากๆ
ทดลองทุก Textbox เลยละกัน เผื่อได้เก้าหมื่น
Paypal กับ SQL injection นี้นะ ไม่น่าเชื่อจริง ๆ ว่าจะพลาด
SQL injection..... นี่มันอันแรกๆ เบสิคที่สอนกันเลยนะฮ่าๆๆๆ