ไม่ได้ฝัง script อะไรไว้ใน code ของเว็บเลยแน่นอนครับ จริงๆครับ เพราะผมเดาว่าคงจะสิทธิ์ไม่ถึงอะครับ (หมายถึง Permissions -Read -Write -Execute อะครับ) ถ้าเป็นเว็บแบบนี้ คงต้องเป็น vps หรือเช่า server แยกอะครับเพราะต่อวันคนคงเข้าเยอะโฮสธรรมดาคงไม่ไหว เพราะงั้นคงจะมีการ setup ดีอยู่ ผมเลยไม่ได้ทำอะไร
--------------------------------------------------------------------------------
From:
xxx@hotmail.comTo:
ni_ccc@hotmail.co.thSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 22:06:22 +0700
ไม่ทราบว่าฝังอะไรไปในสคริปอีกไหม ผมบอกตรงๆว่าเสียหาย อย่าทำเลวอีกเลย ก่อนจะสายไป
--------------------------------------------------------------------------------
From:
ni_ccc@hotmail.co.thTo:
xxx@hotmail.comSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 19:00:56 +0700
อ้างอิง
1.
http://www.xxx.com/index.php?z...ory=8&ext=movie&page=1 
2.
http://www.xxx.com/index.php?z...&ext=movie&page='1 จาก URL ด้านบนโดยปกติเวาลาเราเข้าเว็บ ( url 1.) ก็จะเห็นว่าปกติดีไม่มีอะไร แต่ถ้าเกิดเราใส่ อักษรพิเศษเข้าไปที่ตัวแปล page จาก
page=1 เป็น page='1 จะเห็นได้ว่าเว็บจะมี error ขึ้นมาดังนี้
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/xxx.com/ext_mo/body_mo.php on line 20
จาก error เราก็จะทราบได้ว่าเป็น error ที่มาจากไฟล์ body_mo.php ในบรรทัดที่ 20
อันนี้แหละคือบัค sql injection เพราะเวลาจะใช้คือแทนที่จะเป็นการใส่ตัวแปลแค่ =1 แต่เปลี่ยนเป็นการใส่คำสั่ง sql เข้าไปแทน เวลาไปคิวรี่มันก็จะคิวรี่ตามคำสั่งที่เราใส่ไป
ส่วนการป้องกันลอง search ใน google ว่า " ป้องกัน sql injection " อ่านดูครับมีคนเขียนไว้มากมายเป็นภาษาไทย
--------------------------------------------------------------------------------
From:
xxx@hotmail.comTo:
ni_ccc@hotmail.co.thSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:40:11 +0700
สรุปว่ามันพลาดตรงไหนอ่ะ ผมไม่เก่งเรื่องความปลอดภัย บอกไฟล์ที่ต้องแก้สิ
--------------------------------------------------------------------------------
From:
ni_ccc@hotmail.co.thTo:
xxx@hotmail.comSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:25:47 +0700
มันเป็นการต่อยอดครับ ถ้าเข้าฐานข้อมูลได้เราก็สามารถจะเข้าไปทางอื่นในเว็บนั้นได้เหมือนกันครับ แต่ถ้าท่านแก้บัคที่เว็บแล้วและเปลี่ยนข้อมูลเว็บเช่น
รหัส sql ที่เป็น config ของเว็บอะครับ หรือรหัสอื่นๆที่น่าจะเกี่ยวข้องกันให้หมด แค่นี้คนอื่นก็เข้าเว็บท่านไม่ได้แล้วครับรวมทั้งผม
--------------------------------------------------------------------------------
From:
xxx@hotmail.comTo:
ni_ccc@hotmail.co.thSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:22:25 +0700
แล้วคุณเข้าไปแก้ไฟล์ใน SQL หรือเข้าทางระบบแอดมิน เพราะไม่งั้นต่อไปก็ทำอีก เพราะคุณรุ้ช่องโหว่แล้ว
--------------------------------------------------------------------------------
From:
ni_ccc@hotmail.co.thTo:
xxx@hotmail.comSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 18:10:25 +0700
ผมก็ไม่ได้ต้องการแบบนั้นนะครับ ส่วนเรื่องเงินก็ยังไม่ได้โอนให้ผมไม่ใช่หรอครับ ผมถึงบอกว่ายังโชคดีนะที่คุณพบความผิดปกติก่อนที่จะโอน
เงินออกมา ส่วนเรื่องช่องโหว่นั้นเว็บคุณช่องโหว่มี SQL Injection กับ File inclusion นี่เป็นช่อโหว่ที่มีความอันตรายสูงมากครับ เดี๋ยวผมจะส่งรายละเอียดไปให้ว่ามีช่องโหว่อยู่ที่ file ไหนของเว็บรอสักครู่ครับผม
--------------------------------------------------------------------------------
From:
xxx@hotmail.comTo:
ni_ccc@hotmail.co.thSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 17:58:04 +0700
การดัก แล้วเอาเงินไปแบบนี้โทษหนักด้วย ไม่น่ารอลงอาญา เข้าข่ายความผิดมาตรา 5, 7, 9 และ 14 ตามพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 โดยมีโทษสูงสุด จำคุก 5 ปี ปรับไม่เกิน 500,000 บาท
คุณต้องการแบบนี้ใช่ไหมครับ งั้นเราลองสู้กันซักตั้งแระกันครับ !!
--------------------------------------------------------------------------------
From:
ni_ccc@hotmail.co.thTo:
xxx@hotmail.comSubject: RE: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 15:53:27 +0700
โชคยังดีที่คุณยังไม่ได้โอนเงิน aff ให้ผม ผมก็จะไม่ทำเช่นนั้นอีกครับ ต่อไปนี้ผมหยุดแล้วนะครับ เป็นเพราะผมไม่ได้คิดให้ดีถึงผลกระทบที่จะตามมาซะก่อน
ว่าจะทำให้คนอื่นเดือดร้อน
--------------------------------------------------------------------------------
From:
xxx@hotmail.comTo:
ni_ccc@hotmail.co.thSubject: ติดต่อกลับด้วยครับ ต้องการเคลียร์ให้รู้เรื่อง
Date: Thu, 8 Nov 2012 10:12:39 +0700
ผมทราบว่าท่านกำลังทำไรอยู่นะครับ ถ้าไม่อยากให้ปัญหามันมากกว่านี้ ช่วยติดต่อกลับมาด้วย
อย่าหากินด้วยวิธีการหมาๆ แบบนี้เลย มีไรคุยกันตรงๆ อย่าเหยียบย่ำกันเลย ครับ ขอร้อง
ช่วยติดต่อกลับมาคุยหน่อยแระกัน จะได้จบๆ ไม่เช่นนั้นท่านนั่นแหละครับ ที่จะเสียหายกว่าผมหลายเท่า...
ขอบคุณ
ไทย เสียว บอร์ด
