Please use this identifier to cite or link to this item:
http://202.28.34.124/dspace/handle123456789/2409
Full metadata record
DC Field | Value | Language |
---|---|---|
dc.contributor | Paradet Khachenrum | en |
dc.contributor | ภารเดช คะเชนรัมย์ | th |
dc.contributor.advisor | Somnuk Puangpronpitag | en |
dc.contributor.advisor | สมนึก พ่วงพรพิทักษ์ | th |
dc.contributor.other | Mahasarakham University | en |
dc.date.accessioned | 2023-12-20T14:36:57Z | - |
dc.date.available | 2023-12-20T14:36:57Z | - |
dc.date.created | 2021 | |
dc.date.issued | 24/6/2021 | |
dc.identifier.uri | http://202.28.34.124/dspace/handle123456789/2409 | - |
dc.description.abstract | SSL (Secure Socket Layer) stripping attack was one of the most popular techniques to bypass the SSL protocol, causing the website to do not communicate via HTTPS. So, an HSTS (HTTP Strict Transport Security) mechanism had been proposed to solve this problem. However, several recent studies have reported that some online banking systems and e-commerce websites could be effectively attacked by the SSL stripping technique again, even with an HSTS setting. Hence, this thesis investigates and analyzes the reasons behind the malfunction of HSTS and the return of SSL stripping attacks. To analyze the problem, testbed experiments have been done on 11 Thai online banking websites, 4 e-commerce websites, 11 university registration system websites, 2 volunteer websites. Furthermore, HTTP response headers and the hacker scripts hackers have been analyzed. The causes of the problems have finally been analyzed, and the setting solutions are suggested. In addition, this thesis has also developed an extra solution as a second security layer of SSL to protect against sniffing. The solution is designed on the concepts of a salted hash password and mobile OTP (One Time Password). The prototype of the solution has been developed. Security and performance analysis has been done. We have found that the sniffing-protection solution is useful and causes very little performance overhead. | en |
dc.description.abstract | การโจมตีด้วยการเปลือยเอสเอสแอลเป็นหนึ่งในเทคนิคยอดนิยมเพื่อหลบหลีกจากโพรโทคคอลเอสเอสแอล ทำให้เว็บไซต์ไม่มีการสื่อสารผ่านเอชทีทีพีเอส ดังนั้นกลไกเอชเอสทีเอสจึงได้ถูกนำเสนอเพื่อแก้ปัญหาดังกล่าว แต่อย่างไรก็ตาม หลายการศึกษาเมื่อไม่นานมานี้ ได้รายงานว่าระบบธนาคารออนไลน์และเว็บอีคอมเมิร์ซหลายแห่ง ถูกโจมตีอย่างได้ผลด้วยการเปลือยเอสเอสแอล แม้จะมีการตั้งค่าเอชเอสทีเอสแล้วก็ตาม ดังนั้นวิทยานิพนธ์นี้ จึงทำการตรวจสอบและวิเคราะห์หาเหตุผลเบื้องหลังการทำงานล้มเหลวของเอชเอสทีเอส และการกลับมาโจมตีได้ใหม่ของการเปลือยเอสเอสแอล เพื่อวิเคราะห์ปัญหา ได้มีการทดลองบนเครือข่ายเพื่อการทดสอบ ต่อเว็บธนาคารออนไลน์ของไทย 11 แห่ง ระบบเว็บอีคอมเมิร์ซ 4 เว็บ เว็บระบบทะเบียนของมหาวิทยาลัยในไทย 11 เว็บ และเว็บอาสาสมัครอีก 2 เว็บ นอกจากนี้ ยังมีการวิเคราะห์เฮดเดอร์ของเอชทีทีพีที่ตอบกลับมา และวิเคราะห์สคริปต์ที่แฮกเกอร์ใช้ในการโจมตี ในที่สุดสาเหตุของปัญหาก็ได้รับการวิเคราะห์และแนวทางในแก้ปัญหาจากการตั้งค่าได้ถูกเสนอแนะ ยิ่งไปกว่านี้ วิทยานิพนธ์นี้ยังได้พัฒนาแนวทางแก้ปัญหาเพิ่มเติมเพื่อเป็นชั้นที่สองจากเอสเอสแอลเพื่อป้องกันการดักจับข้อมูล แนวทางการแก้ปัญหานี้ถูกออกแบบจากแนวคิด รหัสผ่านที่ถูกแฮชกับซอลท์ และรหัสผ่านใช้ครั้งเดียวผ่านโทรศัพท์มือถือ ต้นแบบของแนวทางแก้ปัญหาดังกล่าวได้ถูกพัฒนา และได้ถูกวิเคราะห์สมรรถภาพและความมั่นคง เราได้พบว่าแนวทางการป้องกันการแอบดักจับข้อมูลที่เสนอมีประโยชน์และมีต้นทุนทางสมรรถภาพเพียงเล็กน้อย | th |
dc.language.iso | th | |
dc.publisher | Mahasarakham University | |
dc.rights | Mahasarakham University | |
dc.subject | เอชทีทีพีเอส | th |
dc.subject | กลไกเอชเอสทีเอส | th |
dc.subject | การโจมตีด้วยการเปลือยเอสเอสแอล | th |
dc.subject | ความมั่นคงเว็บ | th |
dc.subject | HTTPS | en |
dc.subject | HTTP Strict Transport Security | en |
dc.subject | SSL Stripping Attack | en |
dc.subject | Web Security | en |
dc.subject.classification | Computer Science | en |
dc.subject.classification | Computer Science | en |
dc.subject.classification | Information and communication | en |
dc.title | Problem Analysis and Solution Development for HSTS malfunction and SSL Stripping Attacks on Web Security | en |
dc.title | การวิเคราะห์ปัญหาและพัฒนาวิธีแก้ปัญหาสำหรับการทำงานผิดปกติของเอชเอสทีเอสและการจู่โจมโดยการเปลือยเอสเอสแอลต่อความมั่นคงของเว็บ | th |
dc.type | Thesis | en |
dc.type | วิทยานิพนธ์ | th |
dc.contributor.coadvisor | Somnuk Puangpronpitag | en |
dc.contributor.coadvisor | สมนึก พ่วงพรพิทักษ์ | th |
dc.contributor.emailadvisor | somnuk.p@msu.ac.th | |
dc.contributor.emailcoadvisor | somnuk.p@msu.ac.th | |
dc.description.degreename | Master of Science (M.Sc.) | en |
dc.description.degreename | วิทยาศาสตรมหาบัณฑิต (วท.ม.) | th |
dc.description.degreelevel | Master's Degree | en |
dc.description.degreelevel | ปริญญาโท | th |
dc.description.degreediscipline | สาขาวิทยาการคอมพิวเตอร์ | en |
dc.description.degreediscipline | สาขาวิทยาการคอมพิวเตอร์ | th |
Appears in Collections: | The Faculty of Informatics |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
62011251001.pdf | 5.18 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.