Search
× Search
Menu
  1. Home
  2. About
    1. Course
    2. Career Path
    3. Alumni (ศิษย์เก่า)
  3. Personnel
  4. Activity
  5. Student
    1. ปฏิทินการศึกษา
    2. เอกสารและแบบฟอร์ม
    3. Supreme (ระบบลงทะเบียน)
    4. SWU Admission (ระบบรับสมัครนิสิตใหม่)
    5. ผลงานสหกิจ
    6. ผลงานนิสิต
  6. Contact




ผลงานสหกิจ

นันทวรรณ ปาสาเขา
/ Categories: ผลงานสหกิจ

การทดสอบเจาะระบบและการประเมินความปลอดภัยของเว็บแอปพลิเคชันภายในมหาวิทยาลัย

Penetration Testing and Security Assessment of University Web Applications

ผู้จัดทำ: นายศราวุฒิ พูลเขตต์ 

อาจารย์ที่ปรึกษา: ดร.กฤษฎา เล้งเวหาสถิตย์

ที่มาและความสำคัญ

ปัจจุบันองค์กรและสถาบันการศึกษามีการพัฒนาระบบสารสนเทศและเว็บแอปพลิเคชันเพื่อรองรับการดำเนินงานในหลายด้าน เช่น ระบบบริการนักศึกษา ระบบจัดการข้อมูลบุคลากร และระบบบริการภายในองค์กร ซึ่งระบบเหล่านี้มีการจัดเก็บและประมวลผลข้อมูลสำคัญเป็นจำนวนมาก จึงมีความจำเป็นต้องมีการจัดการควบคุมความเสี่ยง เพิ่มความปลอดภัย และเพิ่มประสิทธิภาพของระบบสารสนเทศอย่างสม่ำเสมอ เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นกับระบบเว็บแอปพลิเคชันภายในองค์กร

วัตถุประสงค์

  1. ศึกษากระบวนการทดสอบความมั่นคงปลอดภัยของระบบสารสนเทศในสภาพแวดล้อมการทำงานจริง
  2. พัฒนาทักษะด้านการวิเคราะห์ช่องโหว่ การประเมินความเสี่ยง และการจัดทำรายงานผลการทดสอบความมั่นคงปลอดภัยของระบบสารสนเทศทั้งในภาษาไทยและภาษาอังกฤษ
  3. ศึกษาการใช้เครื่องมือสำหรับการทดสอบเจาะระบบและการตรวจสอบช่องโหว่ของเว็บแอปพลิเคชัน

ขอบเขตของโครงงาน

  • ดำเนินการทดสอบช่องโหว่ของ Internal Web Application ในรูปแบบ Black Box Testing โดยใช้เครื่องมือสำหรับการทดสอบเจาะระบบและการตรวจสอบช่องโหว่ของระบบ
  • การทดสอบมุ่งเน้นไปที่การตรวจสอบช่องโหว่ของเว็บแอปพลิเคชันโดยไม่ดำเนินการโจมตีที่อาจส่งผลกระทบต่อการทำงานของระบบจริง

วิธีการดำเนินงาน

  1. Meeting with Client — นัดพูดคุยกับลูกค้าก่อนเริ่มดำเนินการ Pentest เพื่อเก็บและยืนยัน Requirement รวมถึงขอบเขตการทดสอบ (Scope) ให้ตรงตามที่ระบุไว้ใน Proposal
  2. Recon — รวบรวมข้อมูลของเป้าหมายเพื่อทำความเข้าใจระบบ โครงสร้าง และขอบเขตก่อนการทดสอบ
  3. Analyze — นำข้อมูลที่ได้จาก Recon มาวิเคราะห์เพื่อระบุช่องโหว่ จุดอ่อน และความเสี่ยงของระบบ
  4. Penetrate — ทดสอบเจาะระบบโดยอาศัยข้อมูลและช่องโหว่ที่วิเคราะห์ได้ เพื่อพิสูจน์ว่าระบบสามารถถูกโจมตีได้จริง
  5. Inform — แจ้งผลการทดสอบให้ผู้ที่เกี่ยวข้องรับทราบ โดยสรุปช่องโหว่ ความเสี่ยง และแนวทางการแก้ไข
  6. Deliver — จัดทำและส่งมอบรายงานผลการทดสอบอย่างเป็นทางการ ครอบคลุมรายละเอียดการทดสอบ ช่องโหว่ที่พบ และข้อเสนอแนะในการปรับปรุงระบบ

ผลการดำเนินงาน

จากการดำเนินงานพบช่องโหว่ด้านความมั่นคงปลอดภัยทั้งหมด 16 รายการ โดยแบ่งเป็นช่องโหว่ระดับปานกลาง (Medium) 2 รายการ และระดับต่ำ (Low) 14 รายการ ดังนี้

  • Information Disclosure: มีการเปิดเผยข้อมูลระบบที่ไม่ควรให้ผู้ใช้งานทั่วไปเข้าถึง ซึ่งอาจทำให้ผู้โจมตีสามารถนำข้อมูลที่รั่วไหลไปใช้วิเคราะห์โครงสร้างระบบหรือใช้ข้อมูลสำคัญเพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต
  • Host Header Poisoning: ไม่มีการตรวจสอบค่า Host Header อย่างเหมาะสม ซึ่งอาจทำให้ผู้โจมตีสามารถปลอมค่าเพื่อสร้างลิงก์อันตรายปลอมเพื่อหลอกผู้ใช้งาน
  • Server & Protocol Weaknesses: มีการตั้งค่าและใช้งานเวอร์ชันที่ไม่ปลอดภัย ซึ่งอาจทำให้ผู้โจมตีสามารถดักจับข้อมูลหรือใช้ช่องโหว่ของโปรโตคอลที่ล้าสมัย
  • Vulnerable Dependencies: มีการใช้งานไลบรารีเวอร์ชันเก่าที่มีช่องโหว่ ซึ่งอาจทำให้ผู้โจมตีสามารถใช้การโจมตีที่เผยแพร่สาธารณะในการโจมตีระบบได้ทันที

สรุปผลการดำเนินงาน

โครงงานบรรลุวัตถุประสงค์ในการศึกษากระบวนการทดสอบความมั่นคงปลอดภัยของระบบสารสนเทศ พร้อมทั้งพัฒนาทักษะด้านการวิเคราะห์ช่องโหว่ การประเมินความเสี่ยง และการใช้เครื่องมือทดสอบเจาะระบบ โดยสามารถตรวจพบช่องโหว่ทั้งหมด 16 รายการ แบ่งเป็นระดับปานกลาง 12.5% และระดับต่ำ 87.5% และจากการติดตามผลพบว่าช่องโหว่ทั้งหมดได้รับการแก้ไขครบถ้วน (100%) ส่งผลให้ระดับความเสี่ยงของระบบลดลงและช่วยยกระดับความมั่นคงปลอดภัยของระบบโดยรวมได้อย่างมีประสิทธิภาพ

Previous Article การศึกษาระบบการวิเคราะห์ความคิดเห็นของกีฬาฟุตบอลไทยด้วยระบบ Zocial Eye
Next Article การพัฒนาเว็บสำหรับการติดตามผู้สมัครและการบริหารจัดการกระบวนการคัดเลือก
Print
4 Rate this article:
No rating
Tags: ปีการศึกษา 2568
Terms Of UsePrivacy StatementCopyright 2026 by My Website
Back To Top