มีรายงานว่าแฮกเกอร์กลุ่มหนึ่งได้ใช้ช่องโหว่ใน IIS ทำ SQL Injection ลงในฐานข้อมูลของเว็บไซต์ และฝังโค้ดลงในเว็บเพจของเว็บไซต์นั้นๆ เมื่อผู้ชมเว็บเรียกข้อมูลของเว็บเพจก็จะเป็นการเรียกโค้ดจาวาสคริปต์ประสงค์ร้ายจากโดเมน 3 แห่งในประเทศจีน คือ nmidahena.com, aspder.com หรือ nihaorr1.com โดยอัตโนมัติ
ขณะนี้มีเว็บไซต์ที่โดนเจาะทางช่องโหว่นี้มากเป็นหลักแสนเว็บ ซึ่งรวมถึงเว็บของหน่วยงานสำคัญ อย่างเช่น Unicef, สายการบิน Aeroflot และหน่วยงานรัฐบาลหลายแห่งในอังกฤษด้วย
ไมโครซอฟท์ได้รับทราบปัญหานี้แล้ว และได้ประกาศวิธีแก้ไขสำหรับ IIS 6.0 และ 7.0 บนเว็บไซต์ (Vulnerability in Windows Could Allow Elevation of Privilege) อย่างไรก็ตามยังไม่มีแพตช์ออกมา สำหรับคนที่ใช้ IIS อยู่ สามารถตรวจสอบได้ง่ายๆ โดยการค้นหา URL สามอันข้างต้นใน log ของเซิร์ฟเวอร์ครับ ส่วนรายละเอียดอื่นๆ ดูได้ตามลิงก์
ที่มา - Washington Post, Dynamoo's Blog, F-Secure, Slashdot
Comments
จะโทษ IIS อย่างเดียวผมว่าก็คงไม่เหมาะเท่าไหร่ มันอยู่ที่ code ของเว็บด้วยถ้าเขียนป้องกัน SQL Injection ก็ไม่น่าจะโดนขนาดนี้ ยอมเสียเวลานิดนึงกับ Code ป้องกัน SQL Injection ก็ไม่น่าจะโดนหนักขนาดนนี้
คนทำเว็บไม่ใช่เจ้าของ server นี่สิ ยิ่งในเมืองไทยค่าตัวที่ต่ำติดดินด้วยแล้ว ถ้าไม่ได้ใช้ framework (ในงานทั่วๆ ไป) การแก้ไขปัญหา SQL Injection คือการเพิ่มต้นทุนมหาศาล (เมื่อเทียบกับรายได้)
มันไม่ aware กันนะสิครับ ทั้งคนทำ,คนตรวจรับ
แล้วถ้าใช้ความสามารถพื้นฐานของเฟริมเวิร์ก มันก็จะโดนง่ายๆ
ต้องใช้เฟริมเวิร์กตัวอื่นๆช่วย
แล้วมันยากนะครับ ไม่ใช่หมูๆที่จะเปลี่ยนเฟริมเวิร์กอ่ะ
อู๊ย ช่วงโหว่นี้บ้าพลังมากนะ ยังดีแค่โดยฝังโค้ดจาวาสคริปต์
มีผลกว้างมาก
โดนกันถ้วนหน้า ถ้าเจอบักใน IE คู่กันด้วยนะ แล้วก็เอาไปรวมกับจาวาสคริปต์ที่ฝังไว้ คนเข้า Unicef ก็คงเสร็จเรียบร้อยหมด
ขออภัยมองโลกในแง่ร้าย negative thinking
ไม่เคยไว้ใจ IIS เลย
เซิฟเวอร์ที่โรงเรียนที่ใช้ IIS ก็โดนเล่นไปแล้วทีนึง
ถ้าระบบประกาศผลของกระทรวงไม่เขียนด้วย asp จะแฮปปี้กว่านี้มาก - -"
คงเป็นไปได้ยาก เนื่องจาก M$ เซ็นต์สัญญาไปแล้นนี่นา ถ้าผมจำไม่ผิดนะครับ มันเป็นช่วงที่ SUN มาโปรโมทแล้วโดน M$ backstab นี่ครับ
สงสารโปรแกรมเมอร์จัง ได้ค่าแรงต่ำแต่ก็ต้องทำออกมาให้ดี
ในทางกลับกัน ถ้าทำออกมาได้ดี ค่าแรงก็คงไม่ต่ำ...
ในความเป็นจริง หากตรงไปตรงมาแบบนั้นก็คงจะดี
ผมว่าดียังไงเซลล์ก็กินเรียบอยู่ดี
PoomK