Please use this identifier to cite or link to this item:
https://cuir.car.chula.ac.th/handle/123456789/42395
Title: | การประเมินความเสี่ยงต่อคอมมานด์อินเจคชันและการปฏิเสธการให้บริการโดยอิงสกีมาข้อมูลของเว็บเซอร์วิซ |
Other Titles: | A risk assessment against command injection and denial of service based on data schemas of web services |
Authors: | วันวิษา โพธิ์เจริญ |
Advisors: | ทวิตีย์ เสนีวงศ์ ณ อยุธยา |
Other author: | จุฬาลงกรณ์มหาวิทยาลัย. คณะวิศวกรรมศาสตร์ |
Advisor's Email: | [email protected] |
Subjects: | เว็บเซอร์วิส ความเสี่ยง Web services Risk |
Issue Date: | 2555 |
Publisher: | จุฬาลงกรณ์มหาวิทยาลัย |
Abstract: | ปัญหาด้านความมั่นคงเป็นปัญหาที่ผู้ให้บริการและผู้ใช้เว็บเซอร์วิซมีความกังวล เพราะเว็บเซอร์วิซมีโอกาสเสี่ยงที่จะถูกโจมตีจากผู้ประสงค์ร้ายต่อระบบ ซึ่งประกอบไปด้วยการปลอมแปลงข้อมูล การเปิดเผยข้อมูล การแก้ไขดัดแปลงข้อมูล การหยุดให้บริการข้อมูล และการละเมิดข้อมูล โดยเฉพาะหากข้อมูลนำเข้าในสกีมามีการออกแบบที่ไม่เข้มงวด อาจจะเป็นช่องโหว่ทำให้เว็บเซอร์วิซมีความเสี่ยงต่อการโจมตีจากคอมมานด์อินเจคชันและการปฏิเสธการให้บริการ งานวิจัยนี้จึงได้นำเสนอการประเมินความเสี่ยงต่อการโจมตีสำหรับเว็บเซอร์วิซในเบื้องต้น การประเมินจะเริ่มต้นด้วยการวิเคราะห์ข้อมูลนำเข้าที่กำหนดไว้ในสกีมาซึ่งได้อธิบายไว้ในเอกสารวิสเดิล เพื่อตรวจสอบว่าข้อมูลเหล่านี้ได้มีการกำหนดข้อบังคับไว้หรือไม่และมีความเสี่ยงต่อการโจมตีแบบคอมมานด์อินเจคชันและแบบการปฏิเสธการให้บริการอย่างไร จากนั้นจะทำการตรวจสอบว่าความเสี่ยงดังกล่าวสามารถทำให้บรรเทาลงได้หรือไม่โดยพิจารณาจากข้อมูลเชิงความหมายที่กำกับไว้ที่ข้อมูลนำเข้าในวิสเดิล หากข้อมูลเชิงความหมายที่กำกับไว้มีความเข้มงวดมากกว่าสกีมาของข้อมูลนำเข้า งานวิจัยจะถือว่าเป็นกรณีของการออกแบบที่หละหลวมของส่วนต่อประสานของเว็บเซอร์วิซ ซึ่งหากทำการออกแบบใหม่ให้สกีมาของข้อมูลมีความเข้มงวดขึ้น จะช่วยลดความเสี่ยงจากการถูกโจมตีได้ นอกจากนี้งานวิจัยนี้ยังนำเสนอแบบจำลองการประเมินความเสี่ยงสำหรับประเมินระดับความเสี่ยงต่อการโจมตีสำหรับเว็บเซอร์วิซ เพื่อเป็นแนวทางให้กับผู้ให้บริการในการปรับสกีมาให้เข้มงวดขึ้น และเป็นแนวทางให้กับผู้ใช้บริการในการเลือกใช้เว็บเซอร์วิซรายต่าง ๆ |
Other Abstract: | Security concerns have been raised by Web services providers and consumers since Web services are vulnerable to various security attacks including counterfeiting, disclosure, tampering, disruption, and breach of information. In particular, Web services can be vulnerable if the schemas of the input data are not strong, giving way to security attacks like command injection and denial of service. This research proposes an initial assessment of security attack risks for Web services. The assessment begins with an analysis of the input data schemas that are described in the service WSDL document to determine if they are unconstrained and at risk of command injection and denial of service attacks. Then we determine if such a risk can be mitigated by making use of semantic information that is annotated to the input data elements within the WSDL. If the semantic annotation is stronger than the schema elements themselves, we refer to the case of weak interface design in which a redesign of the service interface with stronger schemas should help reduce attack risks. We also propose a risk assessment model for determining quantitatively the attack risk level of a Web service to guide the provider when considering schema hardening and the consumer when selecting between different services. |
Description: | วิทยานิพนธ์ (วท.ม.) --จุฬาลงกรณ์มหาวิทยาลัย, 2555 |
Degree Name: | วิทยาศาสตรมหาบัณฑิต |
Degree Level: | ปริญญาโท |
Degree Discipline: | วิศวกรรมซอฟต์แวร์ |
URI: | http://cuir.car.chula.ac.th/handle/123456789/42395 |
URI: | http://doi.org/10.14457/CU.the.2012.1007 |
metadata.dc.identifier.DOI: | 10.14457/CU.the.2012.1007 |
Type: | Thesis |
Appears in Collections: | Eng - Theses |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
wanwisa _ph.pdf | 1.93 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.