Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ระบบสนบสนนการจดการฐานขอมลสายใยแกวน าแสง
ดวงกมล พนพล1
อาจารย ดร.ธนญ จารวทยโกวท2
บทคดยอ
ปจจบนการด าเนนการตดตงและตรวจสอบการใชงานสายใยแกวน าแสง (Fiber Optic) ของผ
ใหบรการโทรคมนาคมบางรายไมไดมการจดเกบเปนระบบฐานขอมล และไมมการตรวจสอบประสทธภาพ
สายใยแกวน าแสงทเปนระบบ ท าใหบรษททมหนาทรบผดชอบเกยวกบงานตรวจสอบดแลสายใยแกวน าแสง
ท างานไดไมเตมประสทธภาพ เพอแกปญหาดงกลาวงานวจยจงมแนวคดในการ พฒนาระบบระบบเพอ
สนบสนนการจดการฐานขอมลสายใยแกวน าแสง (Fiber Optic Database Management Support System) ขน
เพอจดการปญหาดงกลาว ระบบทพฒนาจะเขามาชวยในการจดเกบฐานขอมลของสายใยแกวน าแสง สามารถ
บอกคาการลดทอนสญญาณ (Loss) สถานภาพสายใยแกวน าแสงในแตละคอร (Core) และแสดงรายงานเพอ
บอกประสทธภาพของสายใยแกวน าแสง โดยสามารถบอกคาลดทอนสญญาณของแตละคอร ผใชงานสามารถ
ทราบไดวาเมอใชงานแลวระบบจะมความเสถยรหรอไม ท าใหบรษทผรบผดชอบสามารถมองเหนภาพรวมและ
ประเมนประสทธภาพสายใยแกวน าแสงไดอยางชดเจน
1. บทน า ปจจบนสายใยแกวน าแสง (Fiber optic) ไดเขามามบทบาทอยางมากในเทคโนโลยการสอสาร
ขอมลยคใหมทมความเรวในการรบ-สงขอมลสงมาก สามารถสงขอมลไดคราวละมาก ๆ ในสายสงขนาดเลก
และสามารถรบสงขอมลในระยะไกลได ปกตแลวสายโยแกวน าแสงจะถกใชในโครงขายหลก (Core network)
ของผใหบรการโทรคมนาคม แตในปจจบนผใหบรการอนเทอรเนตความเรวสงแบบมสาย (Fixed broadband
operatore) เรมตดตงสายใยแกวน าแสงจนถงบานผใชบรการ (Fiber To The Home – FTTH) แทนทสายสง
เคเบลทองแดง (Asymmetric Digital Subscriber Line - ADSL) แลวในหลายพนท โดยเฉพาะพนทในตว
เมอง
1 นกศกษาหลกสตรวศวกรรมศาสตรมหาบณฑต สาขาสาขาวชาวศวกรรมคอมพวเตอรและ โทรคมนาคม มหาวทยาลยธรกจ
บณฑตย
2 ทปรกษาวทยานพนธ
1296
สารนพนธฉบบนมงเนนไปทสายใยแกวน าแสง ประเภทซงคเกลโหมด (Single mode) โดยเฉพาะ
อยางยงสายใยแกวน าแสงทมการพาดสายตามเสาไฟฟาตามทองถนน เพอเชอมตอระหวางสถานใหบรการของ
ผใหบรการโทรคมนาคม การเชอมตอสายใยแกวน าแสงมชอเรยกวาการสไปร (Splice) ซงการสไปรกเปน
สาเหตหนงทท าใหสายเกดการลดทอนของสญญาณแสง (Loss) ในสายใยแกวน าแสง อยางไรกตามคาการ
ลดทอนของสญญาณทเกดขนทงหมดจะตองไมท าใหความแรงของสญญาณแสงทอปกรณปลายทางไดรบต า
เกนกวาคามาตรฐาน เพอใหสามารถตดตอสอสารระหวางอปกรณตนทางและปลายทางได นอกจากการสไปร
สายใยแกวน าแสงแลว การลดทอนของสญญาณแสงอาจเกดขนไดจากสาเหตอน ๆ เชน จ านวนหวตอทเพมขน
การโคงงอของสายใยแกวน าแสง ความไมสม าเสมอของโครงสรางในสายใยแกวน าแสง เปนตน ซงสาเหต
เหลานลวนท าใหการสอสารไมมคณภาพ สาเหตตาง ๆ เหลานมกเกดหลงจากทมการใชงานสายใยแกวน าแสง
ไปแลวชวงเวลาหนง ดงนนหลงจากการเ รมใชงานสายใยแกวน าแสงแลวเรองของการบ ารงรกษา
(Maintenance) จงส าคญอยางยงในการตรวจสอบประสทธภาพของสายใยแกวน าแสง วามการสงสญญาณเปน
อยางไร และปจจบนผดแลบ ารงรกษาสายใยแกวน าแสงยงไมมระบบสนบสนนการจดเกบฐานขอมลสายใยแกว
น าแสงอยางเปนระบบ เพราะยงใชการบนทกลงใน Microsoft Excel อาจท าใหมความยงยากในการจดเกบ
และยากตอการคนหาขอมลสายใยแกวยอนหลง ดงนนผวจยจงไดพฒนาระบบสนบสนนการตดตงและดแล
รกษาโครงขายสายใยแกวน าแสงนขนมา เพอแกไขปญหาดงกลาว
2. ระเบยบวธการวจย
2.1 สายใยแกวน าแสง [1,2]
สายใยแกวน าแสง (Fiber Optic)ปจจบนใชเปนสอสญญาณ (Transmission)ในโครงขายหลกของ
ผใหบรการโทรคมนาคม เนองจากสายใยแกวน าแสงมความจของชองสญญาณ (Capacity) สงมาก มขนาด
เลก น าหนกเบา ยดหยนโคงงอได และสามารถรบสงสญญาณไดในระยะไกล ใยแกวน าแสงท าหนาทเปน
ตวกลางในการสงแสงจากดานหนงไปอกดานหนง ดวยความเรวเกอบเทาแสง เมอน ามาใชในการสอสาร
โทรคมนาคม ท าใหสามารถสง-รบขอมลไดเรวมาก
2.2 การลดทอนสญญาณแสง [3]
การลดทอนของแสงมคาเปนเดซเบล (dB) ของสายใยแกว สตรดงน
Total Loss (dB) = (2 x TLoss) + (DFiber x Att.Fiber) + (N x SLoss)
ค าอธบาย
TLoss = คาการสญเสยทจด Connector = 0.5 dB.
DFiber = ระยะของสายใยแกวน าแสง (Km)
Att.Fiber = คาการลดทอนสญญาณของสายใยแกวน าแสง
SLoss = คาการสญเสยทจดตอสายใยแกวน าแสง (Splice Loss) = 0.05 dB.
1297
N = จ านวนจดตอสายใยแกวน าแสงทงหมด
คามาตรฐานของคาลดทอนสญญาณทความยาวคลนทใช ในงานวจยน
ตารางท 1 คามาตรฐานคาลดทอนสญญาณทความยาวคลนตางๆ
2.3 การสญเสยในสายใยแกวน าแสง [ 7 ]
- ไฟไหมสายใยแกวน าแสง
- หน กระรอกกดแทะ
- การโคงงอของสายใยแกวน าแสง
- การตดตงสายไมถกวธหรอไมเรยบรอย
- การสญเสยเนองจากการเขาหว Connector และท า Splice ไมด
2.4 เครอง OTDR (Optical Time Domain Reflectometer) [8,9]
เครอง OTDR ใชวดคาพารามเตอรตาง ๆ ภายในโครงขายสายใยน าแสงสมพนธกบความยาว โดย
น าปลายหวตอดานหนงของเสนใยน าแสงทตองการวดตอเขากบเครอง OTDR และก าหนดคาฟงกชนตามท
เราตองการวดคา เครอง OTDR อาศยหลกการการสะทอนของแสงทเดนทางในสายใยแกวน าแสงเทยบกบ
เวลา ซงแสงเดนทางยอนกลบมายงดานตนทางทแสงเขา จากนนจะแสดงคาลดทอนสญญาณในแตละคอรของ
สายใยแกวน าแสง
2.5 ฐานขอมล [10]
เปนทเกบบนทกขอมลตาง ๆ ขอมลจะถกเกบใน Record ซงในแตละRecord จะประกอบไปดวย
Field โดยจะเกบรวบรวมขอมลและความสมพนธระหวางขอมล และมซอฟตแวรระบบบรหารจดการขอมล
ชวยในการจดเกบ และคนหาขอมลโดยโปรแกรมประยกตตางๆ เปนไปอยางมประสทธภาพ
MySQL โปรแกรมระบบจดการฐานขอมล มหนาทเกบขอมลโดยใชค าสง SQL ซงตองท างาน
รวมกบเวบเซฟเวอรจะท างานฝง Server side Script โดยในงานวจยนไดใชภาษา PHP ในการตดตอท างานกบ
ฝงเซรฟเวอร
Type คาลดทอนสญญาณทความยาวคลน (Att.Fiber)
1310 nm. 1550 nm. 1625 nm.
G.652
D
0.33
dB./Km.
0.20 dB./Km. -
G.655 - 0.275 dB./Km. 0.35 dB./Km.
1298
2.6 แนวความคดเกยวกบโปรแกรม PHP [11,12]
ภาษา PHP นนเปนเปนภาษาทมลกษณะเปนแบบ Open source PHP เปนสครปตแบบหนง
เรยกวา Server Side Script ทประมวลผลฝงเซรฟเวอร แลวสงผลลพธไปฝงเครองคอมพวเตอร ผานเวบ
บราวเซอร หนาทหลกของ PHP คอ เปนตวประมวลผลค าสง หรอโปรแกรมทเราเขยนเพอใหไดผลลพธ
ออกมาตามทตองการ นอกจากนยงมโปรแกรมฐานขอมล ทเปนตวเสรมการท างานเพอใชในการจดเกบขอมล
ของระบบเวบ
3. การออกแบบและการพฒนาระบบ
3.1 ระบบสนบสนนการจดการสายใยแกวน าแสง
มการออกแบบโครงสรางการท างาน ดงภาพท 1
ภาพท 1 โครงสรางการท างานของระบบทออกแบบ
โครงสรางของระบบจะเปนการใชงานในรปแบบของ internet Connection เชอมตอเขามายง
เซรฟเวอร แมขายทตดตงอยทบรษท ซงประกอบไปดวย การท างานของ Database Server และ เวบ
แอพพลเคชนเซรฟเวอร ซงจะมระบบรกษาความปลอดภยเครอขายในรปแบบของไฟรวอลลทชวยปองกนการ
บกรก และการเขาใชงานผใชงานตอง VPN เขามาเพอเรยกหนา Web Application Login โดยทผใชงานระบบ
ตองระบ Username และ Password ลงในชองทก าหนดให เพอตรวจสอบวามสทธเขาถงโปรแกรมหรอไม และ
มสทธระดบ User, Super user หรอ Admin
3.2 ขนตอนการท างานของระบบทพฒนา
การพฒนาระบบการสนบสนนการจดการฐานขอมลสายใยแกวน าแสง ทพฒนาขนมาสามารถแสดง
ขนตอนการท างานหลกของระบบงานในรปแบบของ Flowchart ดงแสดงในภาพท 2 เปนขนตอนการสราง
ผใชงานและการก าหนดสทธเขาใช ภาพท 3 เปนขนตอนการบนทกขอมลของลกคา ภาพท 4 แสดงขนตอน
การคนหาขอมลของลกคา ภาพท 5 เปนขนตอนการตรวจบ ารงรกษาสายใยแกวน าแสง
1299
�
Username, Password
�
Database
ภาพท 2 ขนตอนการสรางผใชงานและการก าหนดสทธเขาใช
�
� �
�
�
ภาพท 3 ขนตอนการบนทกขอมลของลกคา
1300
�
� �
� �
ภาพท 4 ขนตอนการคนหาขอมลของลกคา
�
� �
� OTDR
ภาพท 5 ขนตอนการตรวจบ ารงรกษาสายใยแกว
ลกษณะการท างานของระบบในการตรวจวดคาความแรงของสายใยแกวทวดไดจรงดวยเครอง
OTDR เทยบกบคาทค านวณทางทฤษฎแสดงดงภาพท 6
1301
�
� �
� �
Core
�
�
�
� 3 dB
�
�
�
�
� OTDR
�
ภาพท 6 ลกษณะการท างานของระบบการสนบสนนการจดการฐานขอมลสายใยแกวน าแสง
4. การทดสอบการใชงานระบบ
การทดสอบระบบจะแบงการทดสอบออกเปน 7 หวขอ ดงน
1. การทดสอบการสรางผใชงานและการก าหนดสทธ โดยผดแลระบบ โดยการสรางผใชงาน
สวนน จะเปนการสรางบญชรายชอผใช และการก าหนดสทธการเขาใชงาน
2. การทดสอบสรางขอมลลกคา โดยการสรางขอมลลกคาและรายละเอยดสายใยแกว
พรอมทงสามารถแกไขขอมลสายได
3. การสรางเสนทางเพม โดยการเพมเสนทางทตองดแลและตรวจสอบ
4. ทดสอบการใสคาลดทอนสญญาณในแตละคอร
5. ทดสอบการแสดงคาการลดทอนของสญญาณทวดไดจรงในแตละคอรเทยบกบการค านวณทางทฤษฎ
6. ทดสอบการพมพรายงาน รายละเอยดขอมลการตดตงเสนทางสายใยแกว ขอมลการบ ารงรกษา
ขอมลประสทธภาพสายสญญาณสายใยแกวน าแสง และขอมลขอเสนอแนะ
7. น าโปรแกรมทพฒนาขนใหบรษททปฏบตงานจรง โดยในสารนพนธน บรษท แอดวานซ อนฟอร
เมชนเทคโนโลย จ ากด (มหาชน) และ หางหนสวนจ ากด จ แอนด เอน เทเลคอม ซงทง 2 บรษทเปนผดแล
1302
ขายสายใยแกวน าแสงใหกบผใหบรการโทรคมนาคม จะชวยทดสอบและประเมนการท างานของระบบท
ออกแบบและพฒนา
ในการทดสอบการใชงานระบบ ไดท าการทดสอบการสรางขอมลลกคาและรายละเอยดของสายใย
แกวน าแสงดงน
ภาพท 7 ผลการสรางขอมลลกคาและขอมลเสนทางการตดตง
ระบบจะท าการใหชางผดแลงานท าการตรวจสอบโดยใสคาทวดไดจรงจากเครอง OTDR ดงภาพ
ภาพท 8 ผลการกรอกคาลดทอนสญญาณทวดไดจากเครอง OTDR
ท าการทดสอบการเปรยบเทยบคาความแรงของสญญาณของสายใยแกวน าแสงจากคาทวดไดจรง
จากเครอง OTDR เทยบกบคาทางค านวณทางทฤษฎ ไดผลดงภาพท 9และแสดงหนาจอรายงานดงภาพท 10
1303
ภาพท 9 หนาจอสถานะของสายใยแกวน าแสง
ภาพท 10 หนาจอการพมพรายงานสายใยแกวน าแสง
จากการพฒนาระบบการสนบสนนการจดการฐานขอมลสายใยแกวน าแสงไดวดประสทธภาพของ
การงานระบบโดยการทดสอบจากชางผดแลงานของบรษทฯ ทอยในเขตกรงเทพมหานคร เปรยบเทยบกบ
บรษทฯ ทอยในเขตตางจงหวดไดผลดงภาพท 11
1304
ภาพท 11 กราฟแผนภมแทงเปรยบเทยบความคดเหนของชางทดแลงานสายใยแกวน าแสงระหวางบรษทฯ
ในเขตกรงเทพมหานคร (บรษท แอดวานซ อนฟอรเมชนเทคโนโลย จ ากด (มหาชน)) และบรษทฯ ในเขต
ตางจงหวด (หางหนสวนจ ากด จ แอนด เอน เทเลคอม)
จากภาพท 11 สามารถสรปผลไดวาดงน
1. เรองระบบสามารถอ านวยความสะดวกมากข น บรษทฯ ในเขตกรงเทพมหานครและบรษทฯ ใน
เขตตางจงหวดใหคะแนน 4.9 และ 4.95 เหตผลเพราะชางบางคนของทง 2 บรษทฯ สวนใหญทมอาย
มากกวา 41 ป ไมคนเคยกบการท างานผานเวบ คนเคยกบการท างานโดยใชกร ะดาษแบบเดม
2. เรองระบบสามารถใชงานไดงาย และ เรองประสทธภาพบรษทฯ เขตกรงเทพมหานครและบรษทฯ
ในเขตตางจงหวดใหคะแนนเตมคอ 5
3. เรองระบบมการประมวลผลทรวดเรว บรษทฯ เขตกรงเทพมหานครใหคะแนน 4.95 บรษทฯ ใน
เขตตางจงหวดใหคะแนนคอ 4.8 คอ เนองจากบรษททอยตางจงหวดใชเครองโทรศพทมอถอของชางเองท า
การทดลองใชระบบผานหนาจอโทรศพท ณ ขณะทดลองความเรวของอนเตอรเนตชางอาจชาเนองจาก
แพคเกจมอถอท ชางใชมนอย จงท าใหระบบชาแตกไมเกน 5 วนาท เทยบกบการใชงานผานเครอง
คอมพวเตอร
4. เรองเนอหารายงานมความชดเจน เขาใจงายบรษทเขตกรงเทพมหานครใหคะแนน 4.6 บรษทใน
เขตตางจงหวดใหคะแนนเตมคอ 4.65 คอ ชางทง 2 บรษทมองวาเนอหารายงานทแสดงยงมองคประกอบไม
ครบถวนยงขาดภาพรวมเสนทางทงหมดทดแล
5. สรปผลการศกษาวจย
งานวจยนน าเสนอระบบสนบสนนการจดเกบฐานขอมลสายใยแกวน าแสง ซงเปนระบบทออกเพอ
แบบชวยในการตรวจสอบ ดแล สายใยแกวน าแสงตามวงรอบทหนวยงานนนๆ ก าหนด ซงระบบทพฒนา
สามารถเปรยบเทยบคาความแรงของสญญาณทวดไดจรงจากเครอง OTDR และคาทค านวณทางทฤษฎในแต
ละคอรไดอยางถกตอง และออกรายงานในรปแบบทสามารถเขาใจงาย จากการทดสอบการใชงานระบบ พบวา
1305
ระบบสามารถใชงานไดด มการแสดงขอมลทถกตอง และสามารถใชงานไดจรง แตหากในอนาคตจะมผน าไป
พฒนาตอควรพฒนาใหระบบสามารถเปรยบเทยบชนดของสายใยแกวและความยาวคลนใหไดหลากหลาย
ชนดมากข นและสามารถมองเหน topology ภาพรวมเสนทางของทงเสนทรบผดชอบเพอใหสามารถมอง
ประสทธภาพสายในภาพรวมทงระบบได
บรรณานกรม
จงเจรญ แจงมาก. (2556). การพฒนาโปรแกรมบรหารจดการโครงขายเสนใยแกวน าแสง
อธคม ฤกษบตร. (2543). เสนใยแกวและการประยกตใชงานเบ องตน
มาตรฐานปจจบนของ ITU (International Telecommunication Union) G.652.D G.655 (11/2009)
PREM S. MANN. Introductory Statistics SEVENTH EDITION
รายงานการวจย การแกไขขอผดพลาดของสญญาณปลายทางในเครองสอสารดวยเสนใยแกวน าแสง
มหาวทยาลยเทคโนโลยราชมงคลลานนา
www.siamfiber.com/1012501/การประยกตใชเครอง-otdr : เขาถง 29 ตลาคม 2559
สามภพ วชรบรรจง. (2550). การออกแบบระบบฐานขอมลเพอการจดการความผดพลาดในระบบ
ปองกนทางไฟฟาของเครองก าเนดไฟฟา สถาบนเทคโนโลยพระจอมเกลาเจาอยหวพระนคร
เหนอ
บญชา ปะสสะเตสง. (2553). พฒนาเวบแอปพลเคชนดวยPHPรวมกบMySQLและDreamweaver
1306
การประเมนคาชองโหวของเวบไซตและการปองกน กรณศกษาเวบไซต
กรมควบคมการปฏบตทางอากาศ
เรออากาศตรหญง ณชณภทร ใจอดทน1
ดร.ชยพร เขมะภาตะพนธ 2
บทคดยอ
บทความนไดท าการศกษา คนควาเพอหาชองโหวหรอจดออนของเวบไซต กรณศกษาเวบไซต
กรมควบคมการปฏบตทางอากาศ “www.daoc.rtaf.mi.th” วาเวบไซตดงกลาวมชองโหวหรอจดออน
หรอไม ชองโหวหรอจดออนนนมระดบความรนแรงและมผลกระทบตอเวบไซตอยางไร โดยใชโปรแกรม
Acunetix Web Vulnerability Scanner เปนเครองมอในการตรวจหาชองโหวของเวบไซตและการหาชอง
โหวโดยใชวธการทดสอบเจาะระบบโดยใชเทคนค Local File Disclosure ในการหาชองโหว ซงผวจยได
แบงขนตอนในการหาชองโหวของเวบไซต เปน 3 ขนตอน ประกอบดวย
(1) การวางแผนและเตรยมการ(Planning and Preparation
(2) การประเมนคาของชองโหว (Vulnerability Assessment)
(3) การท ารายงานวธการแกไขและการปองกนชองโหว (Report how to fix and prevent
vulnerabilities)
ผลลพธจากการศกษา คนควาแสดงใหเหนวาผวจยสามารถตรวจพบชองโหวของเวบไซตกรม
ควบคมการปฏบตทางอากาศ รวมทงสนจ านวน 5 ชองโหว ซงเปนชองโหวทมความรนแรงระดบสง 1 ชองโหว
ชองโหวทมความรนแรงระดบปานกลาง 1 ชองโหว และชองโหวทมความรนแรงระดบต า 3 ชองโหว โดยชอง
โหวทมความรนแรงระดบสง แฮกเกอรสามารถน าไปใชประโยชนในการโจมตเวบไซตดงกลาวและเวบไซตอน
ทอยภายใตโดเมนเนม “daoc.rtaf.mi.th”
1. บทน า
กรมควบคมการปฏบตทางอากาศ เปนหนวยงานขนตรงตอกองทพอากาศหนวยงานหนง ทม
การเผยแพรขอมลตางๆ ผานทางเวบไซตของกรมควบคมการปฏบตทางอากาศ เพอใหบรการแกก าลงพล
ของกองทพอากาศและบคคลทวไปใหสามารถเขาใชบรการสบคนขอมลและดาวนโหลดขอมล จงมความ
เสยงตอการถกโจมตจากผไมประสงคด
1 นกศกษาหลกสตรวศวกรรมศาสตรมหาบณฑต สาขาวชาวศวกรรมคอมพวเตอรและโทรคมนาคม วทยาลยนวตกรรม
ดานเทคโนโลยและวศวกรรมศาสตร มหาวทยาลยธรกจบณฑตย 2 ทปรกษาสารนพนธ
1307
2
ดวยเหตน จงมความจ าเปนทตองมการศกษาวธการหาชองโหวของเวบไซตและวธการโจมต
โดยการใชประโยชนจากชองโหวของเวบไซต เพอก าหนดวธในการแกไขและหาแนวทางปองกนชองโหว
ของเวบไซต กรมควบควบการปฏบตทางอากาศ โดยใชเครองมอ Acunetix Web Vulnerability Scanner
เปนเครองมอในการตรวจหาชองโหวของเวบไซตและใชวธทดสอบเจาะระบบโดยผท าการวจย เพอให
เวบไซตของกรมควบคมการปฏบตทางอากาศมความมนคงปลอดภย
2. ทฤษฎทเกยวของ
2.1 หลกการทดสอบเจาะระบบของผทดสอบ
ภาพท 1 ขนตอนการตรวจหาชองโหวของเวบไซต
2.1.1 วางแผนและเตรยมการ
เปนการก าหนดขอบเขตของเปาหมายในการหาชองโหวของเวบไซต เชน หา
ชองโหวของ Web Application
2.1.2 การประเมนชองโหว
เปนขนตอนการทดสอบเพอทดสอบวาเวบไซตมความปลอดภยมากนอย
เพยงใด ม 3 ขนตอน ดงน
(1) การส ารวจขอมล เปนการคนหาขอมลตาง ๆ ของเปาหมาย เชนการ
ตรวจสอบหมายเลข IP Address หรอรายชอ Service ทเปดใชงานอย
(2) การสแกนระบบ การสแกน (Scanning) เปนการน าขอมลทรวบรวมมา
ไดจากขนตอน การส ารวจขอมล (Reconnaissance) มาอธบายถงโครงสราง ของเครอขายเปาหมาย
(3) การเขาถงเปาหมาย ขนตอนนจะเรมเขาสการโจมตหรอเจาะชองทโหวท
ถกตรวจพบ
2.1.3 การท ารายงานและสงทแนะน าใหท า
คอขนตอนการสรปงานในแตละขนตอนวาไดขอมลอะไรบาง
1308
3
2.2 การวเคราะหความรนแรงของชองโหวและการประเมนความเสยง
ตารางท 1 การวเคราะหความงายตอการเขาถงชองโหว
ตารางท 2 การวเคราะหผลกระทบทจะเกดขนตอระบบ
การประเมนความเสยง
ระดบความเสยง = ความงายตอการเขาถงชองโหว x ผลกระทบตอระบบ
ตารางท 3 การประเมนความเสยง
2.3 เครองมอส าหรบตรวจหาชองโหว
โปรแกรม Acunetix Web Vulnerability Scanner เปนเครองมอส าหรบตรวจหาชอง
โหวของเวบไซต
1309
4
ภาพท 2 เครองมอทใชในการตรวจหาชองโหวของเวบไซต
2.4 Open Web Application Security Project (OWASP)
OWASP เปนองคกรสากลทเปนศนยรวมในการรวมมอจากนกพฒนาเวบแอพพลเคชนทว
โลกในการสรางเวบแอพพลเคชนใหมความปลอดภย โดยในป 2013 OWASP ไดเผยแพรเอกสาร OWASP
TOP 10 2013 ทอธบายรายละเอยดชองโหวทพบไดบอยและมความรนแรง 10 อนดบดงน
2.4.1 Injection
2.4.2 Broken Authentication and Session Management
2.4.3 Cross-Site Scripting (XSS)
2.4.4 Insecure Direct Object References
2.4.5 Security Misconfiguration
2.4.6 Sensitive Data Exposure
2.4.7 Missing Function Level Access Control
2.4.8 Cross-Site Request Forgery (CSRF)
2.4.9 Using Components with Known Vulnerabilities
2.4.10 Unvalidated Redirects and Forwards
2.5 ตวอยางของเวบไซตทมชองโหวและเคยผานการถกโจมต
ป พ.ศ.2557 เวบไซตของกรมควบคมการปฏบตทางอากาศ ถกโจมตโดยการเปลยน
หนาเวบไซต ตามภาพท 3
1310
5
ภาพท 3 เวบไซตกรมควบคมการปฏบตทางอากาศเคยถกโจมต
ดวยเหตน ผจวยจงไดใหความส าคญกบการรกษาความมนคง ปลอดภยของเวบไซต
กรมควบคมการปฏบตทางอากาศ เพอปองกนการถกโจมตจากผไมประสงคด
3. การด าเนนการตรวจหาชองโหวของเวบไซต
ในการตรวจหาชองโหวของเวบไซต ผวจยไดแบงขนตอนในการด าเนนการ เปน 3 ขนตอน
ประกอบดวย
(1) การวางแผนและเตรยมการ (Planning and Preparation)
(2) การประเมนคาของชองโหว (Vulnerability Assessment)
(3) การท ารายงานวธการแกไขและการปองกนชองโหว (Report how to fix and prevent
vulnerabilities)
3.1 การวางแผนและเตรยมการ (Planning and Preparation)
การวางแผนและเตรยมการในการหาชองโหวของเวบไซต ประกอบไปดวย 4 ขนตอน ดง
แสดงตามภาพท 4
1311
6
ภาพท 4 ขนตอนการวางแผนและเตรยมการ
3.2 การประเมนคาของชองโหว (Vulnerability Assessment)
ผวจยไดแบงขนตอนทน ามาใชในการประเมนคาของชองโหวของงานวจยน ออกเปน 4
ขนตอน ดงน
3.2.1 ขนตอนการส ารวจขอมล (Reconnaissance)
เปนขนตอนในการหาขอมลทเกยวของกบเวบไซต เพอน าขอมลทไดน าไปวเคราะห
หาวธการเขาถงชองโหวของเวบไซตตอไป
(1) การท า nslookup รายละเอยดขอมลทพบจากการใชค าสง nslookup แสดง
ตามภาพท 5
ภาพท 5 ผลลพธของการตรวจสอบขอมลของเวบไซต
1312
7
(2) การท า Reverse IP Domain Check รายละเอยด ขอมลทไดรบจากการท า
Reverse IP Domain Check แสดงตามภาพท 6
ภาพท 6 ผลลพธการท า Reverse IP Domain Check
3.2.2 ขนตอนการสแกนหาชองโหว (Vulnerability Scanning)
(1) ใชเครองมอ Acunetix Web Vulnerability Scanner ในการสแกนหาชองโหว
โดยผลลพธท แสดงภาพท 7
ภาพท 7 ขอมลของชองโหวทตรวจพบ
(2) สแกนหาชองโหวบนหนาเวบไซต
ผวจยไดท าการสแกนหาชองโหวของเวบไซตโดยการหาชองโหวจากหนาเพจทก
เพจทอยบนเวบไซต จนพบขอมลมลทคาดวาจะเปนชองโหว คอ parameter ทชอวา“file”ในสวนของหนา
เพจ คอ ไฟลทชอวา“download.php” ซงผวจยพบวาหนาเพจนมชองโหวคอใหผใชสามารถดาวนโหลด
ไฟล ออกมาจากเซรฟเวอรไดตามภาพท 8
1313
8
ภาพท 8 ชองโหวของ Local file inclusion
3.2.3 ขนตอนการเขาถงเปาหมาย (Gaining Access)
น าขอมลทไดจากขนตอนการสแกนหาชองโหวมาใชประโยชนในการทดสอบการ
โจมตเวบไซตโดยใชเทคนคทเรยกวา Local File Disclosure ในการหาชองโหว โดยการใชโปรแกรม Curl
ผาน Command Prompt ดงแสดงตามภาพท 9
ภาพท 9 ค าสงดาวนโหลดไฟล download.php
จากค าสงดงกลาวพบวาสามารถดาวนโหลดไฟล download.php ออกมาจาก
เครองเซรฟเวอรไดส าเรจ จากนนท าการอานซอรสโคดของไฟล download.php พบวาไมมการตรวจสอบ
นามสกลของไฟลกอนทจะอนญาตใหดาวนโหลด สงผลใหสามารถดาวนไฟล ใด ๆ กไดทอยบนเซรฟเวอร
เพยงแครทอยของไฟลทตองการดาวนโหลดเทานน รายละเอยดตามภาพท 10
ภาพท 10 อานซอรสโคดไฟล download.php
จากนนจงทดลองดาวนโหลดไฟล admin.php ซงเปนไฟลทผวจยสนนษฐานวานาจะ
เปนไฟลทมอยในเซรฟเวอรและเปนไฟลทคาดวาจะสามารถน าไปใชประโยชนได พบวาไฟลมการอางอง
ถงไฟลทสามารถเขาไปเพมขอมลในเวบไซตได คอไฟลทชอวา newbroad.php และภายในไฟล admin.php
มการเขยนคอมเมนตบอกใหรวาไฟลนมความส าคญกบ admin ตามภาพท 11
1314
9
ภาพท 11 รายละเอยดขอมลภายในไฟล admin.php
จากนนจงเรยกไฟล newbroad.php ผานเวบบราวซเซอร เพอทดสอบการเขาถง
หนาเพจ newbroad.php ซงเปนหนาทใชในการอพโหลดขอมลขนสหนาเวบไวต พบวาสามารถเขาถงชอง
ทางการอพโหลดขอมลขนบนเวบไซตไดโดยไมผานการยนยนตวตน ดงแสดงตามภาพท 12- 13
ภาพท 12 การอพโหลดไฟลขนเซรฟเวอร
ภาพท 13 การอพโหลดไฟล system.CMD.php เสรจสมบรณ
1315
10
จากผลการทดสอบการเจาะระบบเวบไซต พบวาสามารถน าชองโหวทตรวจพบ
จากขนตอนการสแกนหาชองโหวของเวบไซตมาใชประโยชนในการทดสอบเจาะระบบเวบไซตได
3.2.4 การวเคราะหความรนแรงของชองโหวและการประเมนความเสยง
(Vulnerability and Risk Analysis)
ตารางท 4 การวเคราะหความรนแรงของชองโหว
ทตรวจพบ
1316
11
โดยสามารถสรปขอมลของชองโหวทตรวจพบไดดงตารางท 5
ตารางท 5 จ านวนของชองโหวทตรวจพบและระดบความเสยง
ระดบความเสยง สง กลาง ต า
จ านวนชองโหว 1 1 3
จากขอมลในตารางท 4 แสดงเปนแผนภมไดตามภาพท 14
ภาพท 14 ผลการวเคราะหความรนแรงของชองโหว
1317
12
3.3 รายงานวธการแกไขและการปองกนชองโหว (Report how to fix and prevent
vulnerabilities)
จากผลการศกษาในหวขอท 3.2 ผวจยไดคนพบแนวทางการปองกนและแกไขชองโหวท
ตรวจพบโดยได จดท า เ ปนรายงานใหกบ ผ เก ยว ของไ ดน า ไปแกไข โดยมรายละเอยดดง น
ตารางท 6 การท ารายงานวธการแกไขและการปองกนชองโหว
จากผลการแกไขชองโหวขางตน สามารถแกไขชองโหวทตรวจพบไดแลวจ านวนทงสน 3
ชองโหว และมจ านวน2 ชองโหว ทอยระหวางการด าเนนการแกไขจากผดแลระบบเวบเซรฟเวอรของ
กองทพอากาศ ขอมลดงกลาวสามารถสรปไดดงแสดงตามภาพท 15
1318
13
ภาพท 15 จ านวนชองโหวของเวบไซตกอนและหลงจาก
ไดรบการแกไข
4. บทสรปและขอเสนอแนะ
ผวจยสามารถเขาใจถงวธการหาชองโหวของเวบไซตและวธการโจมตโดยการใชประโยชนจาก
ชองโหวของเวบไซตกรมควบคมการปฏบตทางอากาศและสามารถหาแนวทางในการปองกนไมไดเกดชอง
โหวได จงท าใหเวบไซตของกรมควบคมการปฏบตทางอากาศ มความมนคงปลอดภยมากขน
5. แนวทางการพฒนาตอในอนาคต
5.1 ตรวจหาชองโหวของเวบไซตทงหมดทอยในเครองเซรฟเวอรเพอเปนการปองกนทง
โดเมน
5.2 ตรวจหาชองโหวของเวบเซรฟเวอรโดยใชวธการทดสอบเจาะระบบ (Penetration
Testing) และพยายามคนหาชองโหวใหมๆ ทกวถทางทจะกอใหเกดภยอนตรายตอเวบเซรฟเวอร
5.3 ใชโปรแกรมสแกนชองโหวททนสมย อยางนอย 3 โปรแกรมในการหาชองโหวของเวบไซต
และเวบเซรฟเวอร
บรรณานกรม
กองนโยบายและแผน กรมเทคโนโลยสารสนเทศและการสอสารกองทพอากาศ 2559 : ออนไลน
กองสงครามไซเบอร ส านกระบบบญชาการและควบคม กรมเทคโนโลยสารสนเทศและการสอสารทหาร
อากาศ
จตชย แพงจนทร, Master in Security 2nd
Edition,2553
ธวชชย ชมศร, ความปลอดภยของเวบ, 2017
พรพรหม ประภากตตกล , รจกและปองกนภยจาก Website Defacement,2554
พลตร ฤทธ อนทราวธ,ม.ป.ป.,น. 2
1319
14
ระเบยบกองทพอากาศ วาดวยการรกษาความปลอดภยระบบสารสนเทศของกองทพอากาศ พ.ศ. 2552 :
ออนไลน
สเมธ จตภกดบดนทร, NETWORK SECURITY, 2556,น.34-36
อานฐชย รงสโรดมโกมล , เครองมอทดสอบการเจาะระบบ Tool for Penetration test,2558
“Acunetix” [ออนไลน]: เขาถง 24 ก.ย. 2016 จาก : https://www.acunetix.com
2003 – 2013 The OWASP Foundation, [online]. Available:
OWASP Risk Rating Methodology จาก : https://www.owasp.org/index.php/OWASP_Risk
Rating_Methodology
The OWASP Foundation: OWASP Top 10 - 2013. (2013), [online]. Available:
http://owasptop10.googlecode.com/files/OWASPTop10-2013.pdf /
1320