Search
× Search
Menu
  1. Home
  2. About
    1. Course
    2. Career Path
    3. Alumni (ศิษย์เก่า)
  3. Personnel
  4. Activity
  5. Student
    1. ปฏิทินการศึกษา
    2. เอกสารและแบบฟอร์ม
    3. Supreme (ระบบลงทะเบียน)
    4. SWU Admission (ระบบรับสมัครนิสิตใหม่)
    5. ผลงานสหกิจ
    6. ผลงานนิสิต
  6. Contact




ผลงานนิสิต

นันทวรรณ ปาสาเขา
/ Categories: ผลงานนิสิต

การทดสอบเจาะระบบเว็บแอปพลิเคชันเพื่อประเมินช่องโหว่ด้านความปลอดภัย

Black Box Penetration Testing ตามมาตรฐาน OWASP สำหรับเว็บแอปพลิเคชันภายในมหาวิทยาลัย

ผู้จัดทำ: นายศราวุฒิ พูลเขตต์, นายกิตติชัย จ๊ะถา
อาจารย์ที่ปรึกษา: อาจารย์กฤษฎา เล่งเวหาสถิตย์

ที่มาและความสำคัญ

องค์กรและสถาบันการศึกษาพัฒนาเว็บแอปพลิเคชันเพื่อรองรับการดำเนินงานหลายด้าน ซึ่งจัดเก็บข้อมูลสำคัญจำนวนมากทั้งข้อมูลส่วนบุคคลและข้อมูลภายในองค์กร การทดสอบเจาะระบบ (Penetration Testing) จึงเป็นแนวทางสำคัญในการจำลองการโจมตีอย่างถูกต้องตามกฎหมาย เพื่อค้นหาช่องโหว่และจุดอ่อนด้านความปลอดภัยก่อนที่ผู้ไม่หวังดีจะนำไปใช้โจมตีจริง โครงงานนี้จึงมุ่งประเมินความมั่นคงปลอดภัยของเว็บแอปพลิเคชันภายในมหาวิทยาลัย และจัดทำรายงานเพื่อเป็นแนวทางในการปรับปรุงระบบต่อไป

โครงสร้างระบบและการทำงาน

กระบวนการทดสอบแบ่งออกเป็น 5 ขั้นตอนหลักตามมาตรฐาน OWASP WSTG ดังนี้
- Reconnaissance — รวบรวมข้อมูลระบบเป้าหมาย เช่น Endpoint, Parameter และเทคโนโลยีที่ใช้งาน
- Analysis — วิเคราะห์การทำงานและข้อมูลที่รับส่งผ่าน HTTP/HTTPS ด้วย Burp Suite
- Vulnerability Testing — ทดสอบช่องโหว่ตามแนวทาง OWASP Top 10 เช่น SQL Injection, XSS และ Security Misconfiguration
- Validation and Risk Assessment — ยืนยันผลช่องโหว่และประเมินระดับความรุนแรงตามมาตรฐาน CVSS v3.1
- Reporting and Remediation — จัดทำรายงานพร้อมข้อเสนอแนะในการแก้ไขช่องโหว่

เครื่องมือที่ใช้ในการทดสอบประกอบด้วย Burp Suite, Nmap, Nuclei และ Dirsearch

ผลการดำเนินงาน

ดำเนินการทดสอบเว็บแอปพลิเคชันทั้งสิ้น 12 โดเมน ตามขอบเขตที่ได้รับอนุญาต พบช่องโหว่สำคัญในหลายระบบ ได้แก่ Missing HTTP Security Headers, Information Disclosure, Username Enumeration และการเปิดเผย Administrative Interface ซึ่งอาจเพิ่มความเสี่ยงต่อการถูกโจมตี โดยจัดทำ Brief Report สำหรับทั้ง 12 โดเมน และ Full Report เชิงลึกสำหรับ 2 โดเมนที่ได้รับการคัดเลือก ครอบคลุมรายละเอียดช่องโหว่ หลักฐาน ผลกระทบ และแนวทางแก้ไข

บทสรุปและข้อเสนอแนะ

โครงงานช่วยให้หน่วยงานที่เกี่ยวข้องได้รับข้อมูลสถานะความมั่นคงปลอดภัยของระบบอย่างเป็นระบบ โดยมีข้อเสนอแนะสำหรับการปรับปรุงดังนี้
- ทดสอบความมั่นคงปลอดภัยของระบบอย่างสม่ำเสมอเพื่อค้นหาช่องโหว่ก่อนถูกโจมตี
- อัปเดตซอฟต์แวร์ เว็บเซิร์ฟเวอร์ และไลบรารีให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- กำหนดค่า HTTP Security Headers ตามแนวทาง OWASP
- เพิ่มระบบป้องกัน Brute Force เช่น Account Lockout, CAPTCHA หรือ Rate Limiting
- จำกัดการเข้าถึง Administrative Interface เฉพาะเครือข่ายภายในหรือ VPN
- จัดอบรม Cybersecurity Awareness ให้กับผู้ดูแลระบบและนักพัฒนาอย่างต่อเนื่อง

Previous Article ระบบบริหารจัดการสินทรัพย์ภาควิชาวิศวกรรมคอมพิวเตอร์ (CE-AMS)
Next Article ระบบขอใช้ห้องภายในภาควิชาวิศวกรรมคอมพิวเตอร์
Print
3 Rate this article:
No rating
Terms Of UsePrivacy StatementCopyright 2026 by My Website
Back To Top