Please use this identifier to cite or link to this item: http://202.28.34.124/dspace/handle123456789/2409
Full metadata record
DC FieldValueLanguage
dc.contributorParadet Khachenrumen
dc.contributorภารเดช คะเชนรัมย์th
dc.contributor.advisorSomnuk Puangpronpitagen
dc.contributor.advisorสมนึก พ่วงพรพิทักษ์th
dc.contributor.otherMahasarakham Universityen
dc.date.accessioned2023-12-20T14:36:57Z-
dc.date.available2023-12-20T14:36:57Z-
dc.date.created2021
dc.date.issued24/6/2021
dc.identifier.urihttp://202.28.34.124/dspace/handle123456789/2409-
dc.description.abstractSSL (Secure Socket Layer) stripping attack was one of the most popular techniques to bypass the SSL protocol, causing the website to do not communicate via HTTPS. So, an HSTS (HTTP Strict Transport Security) mechanism had been proposed to solve this problem. However, several recent studies have reported that some online banking systems and e-commerce websites could be effectively attacked by the SSL stripping technique again, even with an HSTS setting. Hence, this thesis investigates and analyzes the reasons behind the malfunction of HSTS and the return of SSL stripping attacks. To analyze the problem, testbed experiments have been done on 11 Thai online banking websites, 4 e-commerce websites, 11 university registration system websites, 2 volunteer websites. Furthermore, HTTP response headers and the hacker scripts hackers have been analyzed. The causes of the problems have finally been analyzed, and the setting solutions are suggested. In addition, this thesis has also developed an extra solution as a second security layer of SSL to protect against sniffing. The solution is designed on the concepts of a salted hash password and mobile OTP (One Time Password). The prototype of the solution has been developed. Security and performance analysis has been done. We have found that the sniffing-protection solution is useful and causes very little performance overhead.en
dc.description.abstractการโจมตีด้วยการเปลือยเอสเอสแอลเป็นหนึ่งในเทคนิคยอดนิยมเพื่อหลบหลีกจากโพรโทคคอลเอสเอสแอล ทำให้เว็บไซต์ไม่มีการสื่อสารผ่านเอชทีทีพีเอส ดังนั้นกลไกเอชเอสทีเอสจึงได้ถูกนำเสนอเพื่อแก้ปัญหาดังกล่าว แต่อย่างไรก็ตาม หลายการศึกษาเมื่อไม่นานมานี้ ได้รายงานว่าระบบธนาคารออนไลน์และเว็บอีคอมเมิร์ซหลายแห่ง ถูกโจมตีอย่างได้ผลด้วยการเปลือยเอสเอสแอล แม้จะมีการตั้งค่าเอชเอสทีเอสแล้วก็ตาม ดังนั้นวิทยานิพนธ์นี้ จึงทำการตรวจสอบและวิเคราะห์หาเหตุผลเบื้องหลังการทำงานล้มเหลวของเอชเอสทีเอส และการกลับมาโจมตีได้ใหม่ของการเปลือยเอสเอสแอล เพื่อวิเคราะห์ปัญหา ได้มีการทดลองบนเครือข่ายเพื่อการทดสอบ ต่อเว็บธนาคารออนไลน์ของไทย 11 แห่ง ระบบเว็บอีคอมเมิร์ซ 4 เว็บ เว็บระบบทะเบียนของมหาวิทยาลัยในไทย 11 เว็บ และเว็บอาสาสมัครอีก 2 เว็บ นอกจากนี้ ยังมีการวิเคราะห์เฮดเดอร์ของเอชทีทีพีที่ตอบกลับมา และวิเคราะห์สคริปต์ที่แฮกเกอร์ใช้ในการโจมตี ในที่สุดสาเหตุของปัญหาก็ได้รับการวิเคราะห์และแนวทางในแก้ปัญหาจากการตั้งค่าได้ถูกเสนอแนะ ยิ่งไปกว่านี้ วิทยานิพนธ์นี้ยังได้พัฒนาแนวทางแก้ปัญหาเพิ่มเติมเพื่อเป็นชั้นที่สองจากเอสเอสแอลเพื่อป้องกันการดักจับข้อมูล แนวทางการแก้ปัญหานี้ถูกออกแบบจากแนวคิด รหัสผ่านที่ถูกแฮชกับซอลท์ และรหัสผ่านใช้ครั้งเดียวผ่านโทรศัพท์มือถือ ต้นแบบของแนวทางแก้ปัญหาดังกล่าวได้ถูกพัฒนา และได้ถูกวิเคราะห์สมรรถภาพและความมั่นคง เราได้พบว่าแนวทางการป้องกันการแอบดักจับข้อมูลที่เสนอมีประโยชน์และมีต้นทุนทางสมรรถภาพเพียงเล็กน้อยth
dc.language.isoth
dc.publisherMahasarakham University
dc.rightsMahasarakham University
dc.subjectเอชทีทีพีเอสth
dc.subjectกลไกเอชเอสทีเอสth
dc.subjectการโจมตีด้วยการเปลือยเอสเอสแอลth
dc.subjectความมั่นคงเว็บth
dc.subjectHTTPSen
dc.subjectHTTP Strict Transport Securityen
dc.subjectSSL Stripping Attacken
dc.subjectWeb Securityen
dc.subject.classificationComputer Scienceen
dc.subject.classificationComputer Scienceen
dc.subject.classificationInformation and communicationen
dc.titleProblem Analysis and Solution Development for HSTS malfunction and SSL Stripping Attacks on Web Securityen
dc.titleการวิเคราะห์ปัญหาและพัฒนาวิธีแก้ปัญหาสำหรับการทำงานผิดปกติของเอชเอสทีเอสและการจู่โจมโดยการเปลือยเอสเอสแอลต่อความมั่นคงของเว็บ      th
dc.typeThesisen
dc.typeวิทยานิพนธ์th
dc.contributor.coadvisorSomnuk Puangpronpitagen
dc.contributor.coadvisorสมนึก พ่วงพรพิทักษ์th
dc.contributor.emailadvisorsomnuk.p@msu.ac.th
dc.contributor.emailcoadvisorsomnuk.p@msu.ac.th
dc.description.degreenameMaster of Science (M.Sc.)en
dc.description.degreenameวิทยาศาสตรมหาบัณฑิต (วท.ม.)th
dc.description.degreelevelMaster's Degreeen
dc.description.degreelevelปริญญาโทth
dc.description.degreedisciplineสาขาวิทยาการคอมพิวเตอร์en
dc.description.degreedisciplineสาขาวิทยาการคอมพิวเตอร์th
Appears in Collections:The Faculty of Informatics

Files in This Item:
File Description SizeFormat 
62011251001.pdf5.18 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.