เมื่อกลางปีที่แล้ว Paypal ประกาศล่าบั๊กความปลอดภัยในเว็บและให้เงินรางวัลแก่ผู้แจ้งบั๊ก วันนี้รายละเอียดบั๊กตัวแรกก็ออกมาแล้ว โดยเป็นบั๊ก SQL Injection ที่แจ้งไปตั้งแต่เดือนสิงหาคมที่ผ่านมา (เพียงเดือนกว่าๆ หลังประกาศล่าบั๊ก)
บั๊กนี้อยู่ในส่วนการยืนยันอีเมล โดยลิงก์ที่ Paypal ส่งไปยังอีเมลผู้ใช้เพื่อยืนยันมีพารามิเตอร์ login_confirm_number_id และ login_confirm_number ที่สามารถถูกโจมตีด้วย SQL Injection ได้
รายงานปัญหานี้ไปถึง Paypal เมื่อวันที่ 1 สิงหาคมที่ผ่านมา ทาง Paypal ตอบกลับในวันที่ 7 สิงหาคม จนกระทั่งแก้ปัญหาจริงๆ เมื่อวันที่ 22 มกราคมที่ผ่านมา ผู้พบบั๊กจึงเผยแพร่รายละเอียดทั้งหมด
ที่มา - The Register, SecLists
Get latest news from Blognone
Follow @twitterapi
Comments
จากกรณีนี้ผมสงสัยว่า ...
ถ้าเราพบปัญหาและแจ้งไปยังผู้พัฒนาแล้ว แต่ผู้พัฒนาไม่แก้ภายในระยะเวลาที่เหมาะสม เราจึงเปิดเผยบั๊กนั่นแก้คนทั่วไป เราผิดกฎหมายประเทศไทยและในมาตราใดหรือไม่ครับ?
ไม่มีกฎหมายชัดเจนนะครับ โดยส่วนมากกฎหมายอาชญากรรมคอมพิวเตอร์มักยกเว้นให้กับการทำวิจัยอยู่แล้ว (เช่นการนำเสนอบั๊กตามงานประชุมวิชาการด้านความปลอดภัย)
กรณีที่ใช้กันคือ US-CERT ระบุว่าผู้ผลิตต้อง "ติดต่อกลับ" ภายใน 45 วัน ส่วนจะขอเวลาแก้ไขหรือไม่อย่างไรก็ดูตามความเหมาะสม
ของไทยใกล้เคียงสุดน่าจะเป็นมาตรา 6 ระบุเพียง ว่าเป็นการกระทำ "โดยมิชอบ" เท่านั้น ยังไม่แน่ชัดว่า การเผยแพร่เพื่อการศึกษานี่จะนับว่า "มิชอบ" รึเปล่า คงดูการตีความเก่าๆ หรือรอจนมีคดีไปถึงศาลฎีกาให้เป็นบรรทัดฐาน
lewcpe.com, @wasonliw
ขอบคุณครับ
โห SQL Injection เลยเรอะ พลาดได้ไง
ก็มีหลุดกันได้
หะ!!!
Blognone = 138.1 news/w เยอะมากๆ
ทดลองทุก Textbox เลยละกัน เผื่อได้เก้าหมื่น
Paypal กับ SQL injection นี้นะ ไม่น่าเชื่อจริง ๆ ว่าจะพลาด
SQL injection..... นี่มันอันแรกๆ เบสิคที่สอนกันเลยนะฮ่าๆๆๆ