การทดสอบเจาะระบบเว็บแอปพลิเคชัน สำหรับหน่วยงานภายในมหาวิทยาลัย
ผู้จัดทำ: นายกิตติชัย จ๊ะถา
อาจารย์ที่ปรึกษา: อ.ดร. กฤษฎา เล่งเวหาสถิตย์
ที่มาและความสำคัญ
ปัจจุบันเทคโนโลยีสารสนเทศมีบทบาทสำคัญต่อการดำเนินงานของสถาบันการศึกษา ขณะเดียวกันภัยคุกคามทางไซเบอร์ก็มีแนวโน้มเพิ่มสูงขึ้นอย่างต่อเนื่อง ทั้งการโจมตีเพื่อเข้าถึงข้อมูลและการรั่วไหลของข้อมูลสำคัญ โดยเว็บแอปพลิเคชันของหน่วยงานภายในมหาวิทยาลัย เช่น ภาควิชาและคณะต่างๆ ถือเป็นเป้าหมายสำคัญเนื่องจากเป็นระบบที่เปิดให้ผู้ใช้งานจำนวนมากเข้าถึงได้ หากมีช่องโหว่ (Vulnerabilities) อาจส่งผลกระทบต่อความปลอดภัยและความเชื่อมั่น การทดสอบเจาะระบบ (Penetration Testing) จึงมีความสำคัญอย่างยิ่ง โดยเป็นส่วนหนึ่งของกระบวนการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งประกอบด้วย 4 ขั้นตอนหลัก ได้แก่ การระบุความเสี่ยง (Risk Identification), การประเมินความเสี่ยง (Risk Assessment), การลดทอนความเสี่ยง (Risk Mitigation) และการเฝ้าระวังและตรวจสอบ (Monitoring and Validation)
วัตถุประสงค์
-
เพื่อประเมินความมั่นคงปลอดภัยของเว็บแอปพลิเคชันเป้าหมาย
-
ตรวจหาช่องโหว่เชิงเทคนิคและการตั้งค่าที่ไม่เหมาะสม (Security Misconfiguration)
-
วิเคราะห์ระดับความรุนแรงและจัดทำเล่มรายงานข้อเสนอแนะในการแก้ไขทั้งเชิงเทคนิคและนโยบาย
วิธีการดำเนินงาน (Methodology)
คณะผู้จัดทำได้จัดการประชุมร่วมกับเจ้าหน้าที่สำนักคอมพิวเตอร์เพื่อหารือและกำหนดขอบเขต รูปแบบการดำเนินงาน โดยแบ่งรายละเอียดออกดังนี้:
-
รูปแบบการทดสอบ (Testing Methodology): กำหนดการทดสอบในรูปแบบ External Black-Box Penetration Testing
-
ขอบเขตเป้าหมาย (Target Scope): ทดสอบโดเมนเป้าหมายที่อยู่ในความดูแลของสำนักคอมพิวเตอร์จำนวน 4 ส่วนหลัก ได้แก่ ส่วนงานภาควิชาวิทยาการคอมพิวเตอร์, ส่วนงานคณะวิศวกรรมศาสตร์, ส่วนงานภาควิชาวิศวกรรมคอมพิวเตอร์ และส่วนงานคณะวิศวกรรมหลักสูตรนานาชาติ
ในการดำเนินงานได้แบ่งระยะเวลาออกเป็น 4 ช่วงตามจำนวนโดเมนหลัก และประยุกต์ใช้ขั้นตอนการทดสอบเจาะระบบมาตรฐาน 5 ระยะ ดังนี้:
-
Reconnaissance: เก็บข้อมูลสาธารณะของเป้าหมาย เช่น IP, เทคโนโลยี และโครงสร้างระบบ
-
Scanning & Enumeration: สแกนพอร์ตและบริการต่างๆ เพื่อค้นหาจุดเสี่ยง
-
Exploitation: ทดลองใช้ช่องโหว่เพื่อยืนยันการเข้าถึงในลักษณะ Proof of Concept (POC)
-
Post-Exploitation: วิเคราะห์ระบบภายในและขยายสิทธิ์การเข้าถึง
-
Reporting: สรุปผล จัดลำดับความเสี่ยง และเสนอแนวทางแก้ไข
ผลการดำเนินงาน (Results)
จากการดำเนินงานตรวจพบช่องโหว่ความมั่นคงปลอดภัยรวมทั้งสิ้น 8 จุด แบ่งเป็นช่องโหว่ระดับปานกลาง (Medium) 5 จุด และระดับคำแนะนำเพิ่มเติม (Info) 3 จุด โดยมีรายละเอียดช่องโหว่เชิงเทคนิคที่สำคัญดังนี้:
-
XML-RPC Enabled: ฟังก์ชัน XML-RPC เปิดใช้งานอยู่ ทำให้เสี่ยงต่อการถูกโจมตีแบบ Brute Force หรือ DDoS Attack
-
Weak Transport Layer Security: ระบบรองรับโปรโตคอล TLS 1.0/1.1 ที่ล้าสมัยและมีช่องโหว่ ทำให้เสี่ยงต่อการดักจับข้อมูล
-
Missing HTTP Security Headers: ระบบขาด Header สำคัญ เช่น X-Frame-Options ทำให้ผู้ไม่ประสงค์ดีสามารถนำหน้าเว็บไปฝังในเว็บอื่นได้
-
WordPress Theme Outdated: พบการใช้งาน Theme เวอร์ชันเก่าที่มีช่องโหว่ซึ่งถูกเปิดเผยแล้ว
-
Account Enumeration and Guessable User Account: ระบบแสดงข้อความข้อผิดพลาดแตกต่างกันอย่างชัดเจน ส่งผลให้สามารถนำข้อมูลมาใช้คาดเดาหรือระบุชื่อผู้ใช้งานในระบบได้
-
CVE-2017-5487: ผู้โจมตีสามารถดึงข้อมูลผู้ใช้งาน เช่น ชื่อผู้เขียนโพสต์ได้โดยไม่ต้องผ่านการยืนยันตัวตน และอาจนำไปใช้โจมตีต่อในขั้นต่อไป
ตารางแสดงสถิติการลดความเสี่ยงของระบบสารสนเทศหลังการปรับปรุงแก้ไข:
| รายการประเมินความเสี่ยง |
ก่อนการดำเนินงาน |
หลังการดำเนินงานและแก้ไข |
| ความเสี่ยงด้านข้อมูลรั่วไหล (Data Leakage Risk) |
89% |
0%
|
| ความเสี่ยงของการหยุดชะงักของระบบ (System Disruption Risk) |
67% |
0%
|
สรุปผล (Conclusion)
โครงงานนี้ประสบความสำเร็จและบรรลุวัตถุประสงค์ในการประเมินความมั่นคงปลอดภัยของเว็บแอปพลิเคชันทั้ง 4 โดเมนหลัก โดยสามารถระบุจุดอ่อนและช่องโหว่ทางเทคนิคได้อย่างครบถ้วนพร้อมจัดทำรายงานแนวทางแก้ไขที่ชัดเจน นอกจากนี้ การดำเนินงานยังสอดคล้องกับกรอบมาตรฐาน NIST Cybersecurity Framework (CSF) 2.0 โดยเฉพาะในด้าน Identify และ Protect ซึ่งผลลัพธ์เชิงประจักษ์สามารถลดความเสี่ยงด้านข้อมูลรั่วไหลจาก 89% เหลือ 0% และลดความเสี่ยงของการหยุดชะงักของระบบจาก 67% เหลือ 0% ถือเป็นการยกระดับและเพิ่มประสิทธิภาพมาตรการป้องกันความมั่นคงปลอดภัยไซเบอร์ของมหาวิทยาลัยได้อย่างมีนัยสำคัญ