SQLi ျဖင့္ အခ်က္အလက္မ်ားရယူျခင္းသည္ ဟက္ကာမ်ား၏ အႀကိဳက္ဆုံးနည္းျဖစ္လာ
ယခုႏွစ္ အစတြင္ပင္ ဟက္ကင္းဆိုင္ရာ တက္ႂကြလႈပ္ရွားသူမ်ားသည္
ကမၻာအႏွံ႔ရွိ ေနရာေဒသ အမ်ိဳးမ်ိဳးတို႔မွ အစိုးရႏွင့္ အုပ္ခ်ဳပ္သူ လူတန္းစားတို႔၏ အခ်က္အလက္မ်ားကို
ရယူရန္ ႀကိဳးပမ္းလာၾကသည္။ ဝက္ဘ္ဆိုက္မ်ားအား တိုက္ခိုက္ျခင္း၊ DDoS နည္းျဖင့္ ေႏွာင့္ယွက္ျခင္း၊
မ်က္ႏွာဖ်က္ (Deface) ျပဳလုပ္ျခင္းတို႔၏ ေနာက္ကြယ္မွ လႈပ္ရွားမႈတစ္ရပ္ျဖစ္ေသာ အခ်က္အလက္ခိုးယူျခင္းသည္
ဟက္ကာမ်ားအႀကိဳက္ ကိစၥတစ္ရပ္လည္း ျဖစ္သည္။ သို႔ရာတြင္ အဆိုပါတိုက္ခိုက္မႈမ်ားအား လုပ္ေဆာင္ရာတြင္
အသုံးျပဳေသာနည္းမွာ ႐ိုးစင္းသည္။ ၎မွာ SQL ေဒတာေဘ့ (Database) မ်ား၏ အားနည္းခ်က္မ်ားကို
တိုက္ခိုက္ကာ သတင္းရယူသည့္ SQLi (SQL Injection) နည္းသာ ျဖစ္သည္။
မၾကာေသးမီမ်ားကပင္ ျဖစ္ပ်က္ခဲ့သည့္ ေအာက္ပါကိစၥရပ္မ်ားတြင္
SQLi နည္းကို ေအာင္ေအာင္ျမင္ျမင္ အသုံးခ်သြားႏိုင္ခဲ့ၾကသည္။ ရဲတပ္ဖြဲ႕သားညီေနာင္မ်ား
အမည္ရွိ အေမရိကန္၏ အႀကီးမားဆုံးေသာ ရဲတပ္ဖြဲ႕သမဂၢ၏ ဆာဗာ (Server) အား ထိုးေဖာက္ကာ ၂.၅
ဂစ္ဂါဘိုက္ (2.5GB) ပမာဏရွိ ရဲလုပ္ငန္းဆိုင္ရာ အခ်က္အလက္မ်ားအား ရယူသြားခဲ့သည္။ (www.hackread.com/united-states-largest-police-union-servers-hacked/)
နာဆာအဖြဲ႕၏ အတြင္းပိုင္းကြန္ယက္အား ထိုးႏွက္ကာ
အခ်က္အလက္ ၂၅၀ ဂစ္ဂါဘိုက္ (250 GB) ကို ရယူသြားခဲ့သည္။ (www.hackread.com/nasa-data-leaked-nasa-drone-hacked/)
ေတာင္အာဖရိကအစိုးရ၏ ဆက္သြယ္ေရးႏွင့္ သတင္းအခ်က္အလက္စနစ္ကို
ထိုးႏွက္ကာ အစိုးရဝန္ထမ္း ေထာင္ေပါင္းမ်ားစြာတို႔၏ ကိုယ္ေရးအခ်က္အလက္မ်ားအား ေပါက္ၾကားေစခဲ့သည္။
(www.infosecurity-magazine.com/news/anonymous-hacks-south-african/)
အက္ဖ္ဘီအိုင္ႏွင့္ ျပည္တြင္းလုံၿခဳံေရးဌာန
(DHS) တို႔၏ ဆာဗာ (Server) မ်ားအား ထိုးႏွက္ကာ ျပည္တြင္းလုံၿခဳံေရးဌာနမွ ဝန္ထမ္း ၉၀၀၀
၏ ကိုယ္ေရးအခ်က္အလက္မ်ား၊ အက္ဖ္ဘီအိုင္မွ ဝန္ထမ္း ၂၀၀၀၀ ၏ အခ်က္အလက္မ်ား ေပါက္ၾကားခဲ့သည္။
(www.wired.com/2016/02/hack-brief-fbi-and-dhs-are-targets-in-employee-info-hack/)
တူရကီႏိုင္ငံ အမ်ိဳးသားရဲတပ္ဖြဲ႕၏ ဆာဗာ
(Server) အား ထိုးႏွက္ကာ ၁၇.၈ ဂစ္ဂါဘိုက္ (17.8 GB) ပမာဏရွိ အခ်က္အလက္မ်ားအား ရယူသြားသည္။
(www.hackread.com/anonymous-hacks-turkish-police-server-leak-data/)
ဖိလစ္ပိုင္ ေ႐ြးေကာက္ပြဲေကာ္မရွင္၏ ေဒတာေဘ့
(Database) အား ထိုးေဖာက္ကာ မဲဆႏၵရွင္ ၅၅ သန္း၏ အခ်က္အလက္မ်ား ေပါက္ၾကားခဲ့သည္။ (www.security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports-/comelec/)
ကင္ညာႏိုင္ငံ ႏိုင္ငံျခားေရးဝန္ႀကီးဌာနအား
ထိုးႏွက္ကာ ၁ တာရာဘိုက္ (1 TB) ပမာဏရွိ အခ်က္အလက္မ်ား ေပါက္ၾကားခဲ့သည္။ (www.hackread.com/anonymous-hacks-kenya-ministry-foreign-affairs/)
OWASP ၏ စာရင္းတြင္ SQLi သည္ ဝက္ဘ္လုံၿခဳံေရး
အားနည္းခ်က္စာရင္းတြင္ နံပါတ္တစ္ပင္ ျဖစ္သည္။ ထည့္သြင္းသည့္အခ်က္အလက္ကို ေကာင္းစြာစစ္ေဆးျခင္းမျပဳသည့္
Web Application မ်ား၏ အားနည္းခ်က္ကို အခြင့္ေကာင္းယူကာ တိုက္ခိုက္ျခင္းလည္း ျဖစ္သည္။
Injection နည္းမ်ားတြင္လည္း SQLi သည္ လူသုံးအမ်ားဆုံးပင္ ျဖစ္သည္။ ၎၏ေနာက္တြင္
LDAP ႏွင့္ XML တို႔က ဒုတိယ၊ တတိယေနရာမ်ားကို ရယူထားသည္။ အခုအခါ ဝက္ဆိုက္အမ်ားစုသည္
ေဒတာေဘ့ (Database) ႏွင့္ ခ်ိတ္ဆက္လုပ္ကိုင္ၾကရာ သိုေလွာင္ထားသည့္ အခ်က္အလက္မ်ားကို
SQL Query မ်ားျဖင့္ ရယူၾကရသည္။ အဆိုပါ Query မ်ားအား အလိုရွိသလို ျပဳျပင္ႏိုင္ပါက
ရယူ၊ ၾကည့္႐ႈ႕ခြင့္မရွိသည့္ အခ်က္အလက္မ်ားကိုပါ ရယူသြားႏိုင္သည္။
Dark Web အတြင္းရွိ Hoe Chi Meow
(qkjscem7kksghlux.onion) ဝက္ဆိုက္တြင္ ေဖာ္ျပထားသည့္ ဖြင့္ခ်ခဲ့ရေသာ အခ်က္အလက္မ်ားကို
အထက္ပါအတိုင္း ေတြ႕ရွိႏိုင္သည္။ အခ်က္အလက္မ်ား
ေဖာက္ခ်ခဲ့ရျခင္းသည္ ဘ႑ာေရးဆိုင္ရာ ဆုံး႐ႈံးမႈမ်ား ရွိသကဲ့သို႔၊ ႏိုင္ငံေရးဆိုင္ရာ
နစ္နာမႈမ်ား၊ လူမႈေရးဆိုင္ရာ ဂုဏ္သတင္းက်ဆင္းမႈမ်ားလည္း ျဖစ္ေပၚႏိုင္သည္။ ဖြင့္ထုတ္ခံရသည့္
အခ်က္အလက္တန္ဖိုး၏ အျမင့္အနိမ့္ေပၚ မူတည္ကာ ဂုဏ္သတင္းေက်ာ္ေဇာမႈ၊ ေငြေၾကးခံစားခြင့္မ်ား
ရရွိႏိုင္ျခင္းကလည္း ဟက္ကာမ်ားအား တြန္းအားေပးလ်က္ရွိသည္။ ထို႔အျပင္ အတိုက္အခံ၊ ဆႏၵျပသူမ်ားကလည္း
မိမိတို႔၏ အာဏာပိုင္အဖြဲ႕အစည္းမ်ားကို ေခတ္သစ္ဆႏၵျပမႈမ်ားျဖင့္ ေဆာင္႐ြက္လာၾကသည္။ သို႔ျဖစ္ရာ
အစိုးရအဖြဲ႕အစည္းမ်ားအေနျဖင့္ ႏိုင္ငံ့ဂုဏ္သတင္း၊ အဖြဲ႕အစည္း၏ သိကၡာ၊ မညစ္ႏြမ္းေစရန္
ဆိုင္ဘာလုံၿခဳံေရးအား ဂ႐ုျပဳေဆာင္႐ြက္သြားရန္ လိုအပ္မည္ျဖစ္ေၾကာင္း အႀကံျပဳလိုက္ရပါသည္။
30-5-2016
သတင္းစီစဥ္ တင္ဆက္သူ - Nub90d (MEHN
Team)
SQLi ျဖင့္ အခ်က္အလက္မ်ားရယူျခင္းသည္ ဟက္ကာမ်ား၏ အႀကိဳက္ဆုံးနည္းျဖစ္လာ
Reviewed by Myanmar Ethical Hacking News
on
8:50 PM
Rating:
Reviewed by Myanmar Ethical Hacking News
on
8:50 PM
Rating:
No comments: