การพัฒนาเครื่องมือเพื่อประเมินความเสี่ยงของเว็บเซิร์ฟเวอร์ โดยใช้ซีวีอีและการร้องขอข้อมูลแบบเอชทีทีพี

เกียรติ ภิรมย์โสภา

Please use this identifier to cite or link to this item: https://cuir.car.chula.ac.th/handle/123456789/5389

Title:	การพัฒนาเครื่องมือเพื่อประเมินความเสี่ยงของเว็บเซิร์ฟเวอร์ โดยใช้ซีวีอีและการร้องขอข้อมูลแบบเอชทีทีพี
Other Titles:	Development of a tool for web server risk assessment using CVE and HTTP request
Authors:	เกียรติ ภิรมย์โสภา
Advisors:	นครทิพย์ พร้อมพูล ธงชัย โรจน์กังสดาล
Other author:	จุฬาลงกรณ์มหาวิทยาลัย. คณะวิศวกรรมศาสตร์
Advisor's Email:	Nakornthip.p@chula.ac.th Thongchai.r@chula.ac.th
Subjects:	เว็บเซิร์ฟเวอร์ -- การประเมินความเสี่ยง เอชทีทีพี (โปรโตคอลเครือข่ายคอมพิวเตอร์)
Issue Date:	2547
Publisher:	จุฬาลงกรณ์มหาวิทยาลัย
Abstract:	การประเมินความเสี่ยงเป็นส่วนประกอบสำคัญของการจัดการระบบคอมพิวเตอร์ในยุคข้อมูลข่าวสารที่ช่วยให้ทราบถึงข้อมูลที่เป็นประโยชน์ในการแก้ปัญหาต่างๆ ซึ่งในปัจจุบันเว็บเซิร์ฟเวอร์มีบทบาทสำคัญในการสนับสนุนการให้บริการข้อมูลข่าวสารในระบบอินเทอร์เน็ต ดังนั้นหากระบบรักษาความมั่นคงของเว็บเซิร์ฟเวอร์ไม่ได้รับการปรับปรุงให้ปลอดภัยอยู่เสมออาจทำให้เกิดการสูญเสียทางธุรกิจเนื่องจากถูกโจมตีหรือบุกรุกได้ วิทยานิพนธ์ฉบับนี้จึงมีวัตถุประสงค์เพื่อพัฒนาโปรแกรมประเมินความเสี่ยงของเว็บเซิร์ฟเวอร์ในการที่จะถูกบุกรุกโดยใช้จุดบกพร่องซีวีอีของอาปาเช่และไอไอเอสเว็บเซิร์ฟเวอร์เป็นจุดบกพร่องในการประเมินความเสี่ยง งานวิจัยนี้ได้เสนอการจำแนกระดับผลกระทบตามประเภทของความเสียหายที่เกิดขึ้นกับการรักษาความมั่นคงของระบบคอมพิวเตอร์ ได้แก่ การรักษาความลับ การบูรณภาพ และสภาพพร้อมใช้งาน นอกจากนั้นงานวิจัยนี้ได้คำนวณค่าความน่าจะเป็นของการเกิดจุดบกพร่องของเว็บเซิร์ฟเวอร์ที่เป็นหน่วยตัวอย่างที่คัดเลือกอย่างสุ่มจากหน่วยงานแห่งหนึ่ง และเว็บเซิร์ฟเวอร์ที่จดทะเบียนชื่อโดเมนในประเทศไทยเพื่อใช้เป็นข้อมูลพื้นฐานสำหรับการประเมินความเสี่ยง งานวิจัยนี้ได้พัฒนาเครื่องมือโดยใช้โปรโตคอลเอชทีทีพีในการเก็บข้อมูลจากเว็บเซิร์ฟเวอร์โดยข้อมูลที่ได้นั้นนำมาใช้ในการคำนวณข้อบกพร่องเพื่อประเมินค่าความเสี่ยงของเว็บเซิร์ฟเวอร์ซึ่งโปรแกรมประเมินความเสี่ยงที่พัฒนาขึ้นนั้นสามารถเปรียบเทียบเว็บเซิร์ฟเวอร์เป้าหมายกับกลุ่มของเว็บเซิร์ฟเวอร์ที่กำหนดไว้ในโปรแกรมได้ และจากการทดลองสามารถสรุปได้ว่าเว็บเซิร์ฟเวอร์ในประเทศไทยโดยส่วนใหญ่มีค่าความเสี่ยงในการรักษาความลับสูงที่สุด กล่าวคือเว็บเซิร์ฟเวอร์มีความเสี่ยงที่จะเป็นช่องทางในการเปิดเผยข้อมูลที่ผู้ใช้งานไม่มีสิทธิเข้าถึงได้สูง
Other Abstract:	Risk assessment is a key component of computer system management in an information era. It provides useful information for handling the potential problems. Currently, web server plays an important role for providing information service via internet system. If the web server security system is not constantly updated to the safety status, it may be attacked which could result in business loss. The objective of this thesis is to develop an application program for web server risk assessment. The research primarily focuses on the CVE of two commonly used web servers, Apache and IIS, for vulnerability risk assessment. The levels of impact classification by loss types, confidentiality, integrity and availability are proposed in this research. Moreover, the probabilities of vulnerability occurrences of experimental units are calculated for the basis of risk assessment usage. These samples are randomly selected from web servers population in one organization, and web servers population registered domain name in Thailand. This research also develops a tool using HTTP protocol for inquiring data from web server for risk assessment. The data is calculated to assess related faults and then used for assessing the risk of a web server. The developed tool can also compare the risk value of one target group with another group of web servers predefined in the program. Our experimental results have shown that the majority of web servers in Thailand have the highest security risk in confidentiality. They could hence, disclose their confidential data to non-authorized users
Description:	วิทยานิพนธ์ (วท.ม.)--จุฬาลงกรณ์มหาวิทยาลัย, 2547
Degree Name:	วิทยาศาสตรมหาบัณฑิต
Degree Level:	ปริญญาโท
Degree Discipline:	วิทยาศาสตร์คอมพิวเตอร์
URI:	http://cuir.car.chula.ac.th/handle/123456789/5389
ISBN:	9741764006
Type:	Thesis
Appears in Collections:	Eng - Theses

Files in This Item:

File	Description	Size	Format
kiart.pdf		2.91 MB	Adobe PDF	View/Open

Show full item record