การวิเคราะห์ปัญหาการทำงานผิดพลาดของกลไกเอชเอสทีเอสและการจู่โจมด้วยการเปลือยเอสเอสแอล
Main Article Content
บทคัดย่อ
การโจมตีด้วยการเปลือยเอสเอสแอลเป็นหนึ่งในเทคนิคที่รู้จักกันอย่างแพร่หลาย เพื่อโจมตีเว็บไซต์ที่ใช้เอชทีทีพีเอส ดังนั้นกลไกเอชเอสทีเอสจึงได้ถูกนำเสนอและใช้งานเพื่อสยบการโจมตีดังกล่าว แต่อย่างไรก็ตามจากการศึกษาเมื่อไม่นานมานี้หลายงาน ได้แสดงให้ว่าการโจมตีด้วยการเปลือยเอสเอสแอลเดิมสามารถนำมาใช้โจมตีระบบธนาคารออนไลน์ และเว็บอีคอมเมิร์ซได้ผลอีกครั้งแม้มีการตั้งค่าเอชเอสทีเอสแล้วก็ตาม ดังนั้นงานวิจัยนี้จึงทำการตรวจสอบและวิเคราะห์หาเหตุผลเบื้องหลังการทำงานล้มเหลวของกลไกเอชเอสทีเอส และการกลับมาโจมตีได้ใหม่ของการโจมตี ด้วยการเปลือยเอสเอสแอล เพื่อวิเคราะห์ปัญหาได้ทำการทดลองบนเครือข่ายเพื่อการทดสอบต่อเว็บธนาคารออนไลน์ของไทย 11 ธนาคาร ระบบเว็บอีคอมเมิร์ซ 4 เว็บ และเว็บอาสาสมัครอีก 2 เว็บ และยังมีการวิเคราะห์เอชทีทีพีเรสพอนซีพเฮดเดอร์ และวิเคราะห์สคริปต์ที่แฮกเกอร์ใช้ในการจู่โจม ในที่สุด สาเหตุของปัญหาก็ได้รับการวิเคราะห์และแนวทางในแก้ปัญหาได้ถูกเสนอแนะ
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
บทความที่ลงตีพิมพ์เป็นข้อคิดเห็นของผู้เขียนเท่านั้น
ผู้เขียนจะต้องเป็นผู้รับผิดชอบต่อผลทางกฎหมายใดๆ ที่อาจเกิดขึ้นจากบทความนั้น
References
E. Rescorla. (2000). HTTP Over TLS. [Online]. Available: https://www.rfc-editor.org/info/rfc2818/
E. Rescorla. (2018). The Transport Layer Security (TLS) Protocol Version 1.3. [Online]. Available: https://www.rfc-editor.org/info/- rfc8446/
C. Adams and S. Lloyd, Understanding PKI: Concepts Standards and Deployment Con Siderations, Addison Wesley, 2002, pp. 11–15.
M. Marlingspike. (2009, August). New Tricks for Defeating SSL in Practice. Black Hat, USA. [online]. Available: https://www.blackhat.com /presentations/bh-dc-09/Marlinspike/BlackHat- DC-09-Marlinspike-Defeating-SSL.pdf
A. Fung and K. Cheung, “SSLock: Sustaining the trust on entities brought by SSL,” in Proceedings of the ACM Symposium on Information, 2010, pp. 204–213.
N. Nikiforakis, Y. Younan, and W. Joosen, “HProxy: Client-side detection of SSL stripping attack,” in Proceedings of International Conference on Detection of Intrusions, 2010, pp. 200–218.
A. P. H. Fung and K. W. Cheung, “HTTPSLock: Enforcing HTTPS in unmodified browsers with cached Javascript,” in Proceedings of Fourth International Conference on Network and System Security, 2010, pp. 269–274.
S. Puangpronpitag and N. Sriwiboon, “Simple and lightweight HTTPS enforcement to protect against SSL striping attack,” in Proceedings of International Conference on Computational Intelligence, Communication Systems and Networks, Phuket, Thailand, 2012, pp. 229–234.
S. Puangpronpitag and A. Tooltham “Experimental evaluation of SSL stripping attack solutions,” Information Technology Journal, vol. 10, no. 1, pp. 37–47, 2014 (in Thai).
A. Tooltham and S. Puangpronpitag, “Click2- Enforce: A browser extension to protect against SSL stripping attacks,” Information Technology Journal, vol. 9, no. 2, pp. 7–13, 2013 (in Thai).
J. Hodges, C. Jackson, and A. Barth. (2012). HTTP Strict Transport Security (HSTS). [Online]. Available: https://datatracker.ietf.org/doc/ html/rfc6797/
S. Puangpronpitag, “Surveys of e-banking web security,” Information Security & Advanced Network Research Group, Tech. Rep. 2019- 1005, Oct. 2019.
W. Jacqueem. (2021, January). Force HSTS Using htaccess. InMotion Hosting, Virginia Beach. [Online]. Available: https://www.in-motionhosting.com/ support/website/force-hsts-using-htaccess/
T. Griffin. (2020, December). How to Enable HTTP Strict Transport Security (HSTS) in WordPress, Griffin Media LLC, United States. [Online]. Available: https://thomasgriffin.com/enablehttp- strict-transport-security-hsts-wordpress/
Bettercap. (2019). bettercap Version 2.26.1. [Online]. Available: https://bettercap.org
Google Inc. (2020). Chromium HSTS. [Online]. Available: https://hstspreload.org/
RainbowCrack Project. (2020). RainbowCrack. [Online]. Available: http://project-rainbowcrack .com/