การประเมินความเสี่ยงต่อคอมมานด์อินเจคชันและการปฏิเสธการให้บริการโดยอิงสกีมาข้อมูลของเว็บเซอร์วิซ

วันวิษา โพธิ์เจริญ

Please use this identifier to cite or link to this item: https://cuir.car.chula.ac.th/handle/123456789/42395

Title:	การประเมินความเสี่ยงต่อคอมมานด์อินเจคชันและการปฏิเสธการให้บริการโดยอิงสกีมาข้อมูลของเว็บเซอร์วิซ
Other Titles:	A risk assessment against command injection and denial of service based on data schemas of web services
Authors:	วันวิษา โพธิ์เจริญ
Advisors:	ทวิตีย์ เสนีวงศ์ ณ อยุธยา
Other author:	จุฬาลงกรณ์มหาวิทยาลัย. คณะวิศวกรรมศาสตร์
Advisor's Email:	twittie.s@chula.ac.th
Subjects:	เว็บเซอร์วิส ความเสี่ยง Web services Risk
Issue Date:	2555
Publisher:	จุฬาลงกรณ์มหาวิทยาลัย
Abstract:	ปัญหาด้านความมั่นคงเป็นปัญหาที่ผู้ให้บริการและผู้ใช้เว็บเซอร์วิซมีความกังวล เพราะเว็บเซอร์วิซมีโอกาสเสี่ยงที่จะถูกโจมตีจากผู้ประสงค์ร้ายต่อระบบ ซึ่งประกอบไปด้วยการปลอมแปลงข้อมูล การเปิดเผยข้อมูล การแก้ไขดัดแปลงข้อมูล การหยุดให้บริการข้อมูล และการละเมิดข้อมูล โดยเฉพาะหากข้อมูลนำเข้าในสกีมามีการออกแบบที่ไม่เข้มงวด อาจจะเป็นช่องโหว่ทำให้เว็บเซอร์วิซมีความเสี่ยงต่อการโจมตีจากคอมมานด์อินเจคชันและการปฏิเสธการให้บริการ งานวิจัยนี้จึงได้นำเสนอการประเมินความเสี่ยงต่อการโจมตีสำหรับเว็บเซอร์วิซในเบื้องต้น การประเมินจะเริ่มต้นด้วยการวิเคราะห์ข้อมูลนำเข้าที่กำหนดไว้ในสกีมาซึ่งได้อธิบายไว้ในเอกสารวิสเดิล เพื่อตรวจสอบว่าข้อมูลเหล่านี้ได้มีการกำหนดข้อบังคับไว้หรือไม่และมีความเสี่ยงต่อการโจมตีแบบคอมมานด์อินเจคชันและแบบการปฏิเสธการให้บริการอย่างไร จากนั้นจะทำการตรวจสอบว่าความเสี่ยงดังกล่าวสามารถทำให้บรรเทาลงได้หรือไม่โดยพิจารณาจากข้อมูลเชิงความหมายที่กำกับไว้ที่ข้อมูลนำเข้าในวิสเดิล หากข้อมูลเชิงความหมายที่กำกับไว้มีความเข้มงวดมากกว่าสกีมาของข้อมูลนำเข้า งานวิจัยจะถือว่าเป็นกรณีของการออกแบบที่หละหลวมของส่วนต่อประสานของเว็บเซอร์วิซ ซึ่งหากทำการออกแบบใหม่ให้สกีมาของข้อมูลมีความเข้มงวดขึ้น จะช่วยลดความเสี่ยงจากการถูกโจมตีได้ นอกจากนี้งานวิจัยนี้ยังนำเสนอแบบจำลองการประเมินความเสี่ยงสำหรับประเมินระดับความเสี่ยงต่อการโจมตีสำหรับเว็บเซอร์วิซ เพื่อเป็นแนวทางให้กับผู้ให้บริการในการปรับสกีมาให้เข้มงวดขึ้น และเป็นแนวทางให้กับผู้ใช้บริการในการเลือกใช้เว็บเซอร์วิซรายต่าง ๆ
Other Abstract:	Security concerns have been raised by Web services providers and consumers since Web services are vulnerable to various security attacks including counterfeiting, disclosure, tampering, disruption, and breach of information. In particular, Web services can be vulnerable if the schemas of the input data are not strong, giving way to security attacks like command injection and denial of service. This research proposes an initial assessment of security attack risks for Web services. The assessment begins with an analysis of the input data schemas that are described in the service WSDL document to determine if they are unconstrained and at risk of command injection and denial of service attacks. Then we determine if such a risk can be mitigated by making use of semantic information that is annotated to the input data elements within the WSDL. If the semantic annotation is stronger than the schema elements themselves, we refer to the case of weak interface design in which a redesign of the service interface with stronger schemas should help reduce attack risks. We also propose a risk assessment model for determining quantitatively the attack risk level of a Web service to guide the provider when considering schema hardening and the consumer when selecting between different services.
Description:	วิทยานิพนธ์ (วท.ม.) --จุฬาลงกรณ์มหาวิทยาลัย, 2555
Degree Name:	วิทยาศาสตรมหาบัณฑิต
Degree Level:	ปริญญาโท
Degree Discipline:	วิศวกรรมซอฟต์แวร์
URI:	http://cuir.car.chula.ac.th/handle/123456789/42395
URI:	http://doi.org/10.14457/CU.the.2012.1007
metadata.dc.identifier.DOI:	10.14457/CU.the.2012.1007
Type:	Thesis
Appears in Collections:	Eng - Theses

Files in This Item:

File	Description	Size	Format
wanwisa _ph.pdf		1.93 MB	Adobe PDF	View/Open

Show full item record