Post on 04-Sep-2020
transcript
Subgraph Vega
จัดทําโดย
นายกฤษฎา โสมายัง 563020197-5
นางสาวจันทรจิรา ปูสูงเนิน 563020202-8
นายธํามรงค เวียงอินทร 563020765-4
นางสาวพลอย เหลาพิลา 563020771-9
นายพัฒนกฤษณ ชาญศิริวัฒน 563020773-5
นางสาววรรณวิสา จันทะนป 563020777-7
เสนอ
ผศ.ดร.จักรชัย โสอินทร
รายงานนี้เปนสวนหนึ่งของวิชา 322376 Security
ภาควิชาวิทยาการคอมพิวเตอร คณะวิทยาศาสตร
มหาวิทยาลัยขอนแกน
หนา 1 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
เคร่ืองมือปองกันความปลอดภัย
Subgraph Vega
Vega เปนเครื่องมือในการทดสอบความปลอดภัยของเว็บไซต และยังสามารถชวย คนหาและตรวจสอบชองโหว
เว็บไซตท่ีมีการเช่ือมตอกับฐานขอมูล และ Cross-Site Scripting (XSS) ท่ีอาจเปดเผยขอมูลท่ีสําคัญโดยไมไดตั้งใจและชอง
โหวอ่ืน ๆ และยังสามารถ ตรวจสอบการโตตอบระหวาง Client และ Server สําหรบัเว็บไซต HTTP
การตรวจสอบชองโหวของเว็บไซตจะชวยใหเราทราบถึงจุดสุมเสี่ยงของเว็บไซตของเราหรือเว็บไซตอ่ืนๆ ซึ่งถา
เว็บไซตมีจุดเสี่ยงมากไป อาจจะโดนโจมตีจากผูไมหวังดตีางๆได ตัวอยางเชน การแฮกชองโหวแบบ XSS ของแฮกเกอรโดยฝง
Script ลงในเว็บบอรด เปนตน และยังม ีVega proxy ท่ีสามารถกําหนดคาใหเรียกใชโมดลูโจมตีในขณะท่ีผูใชเรียกดูเว็บไซต
เปาหมาย Vega สามารถใชในการ สํารวจ การเช่ือมตอการสื่อสารกัน ระหวาง ลูกขายกับ เซิฟเวอรผูใหบริการ และจะ
ดําเนินการสกัดก้ัน SSL สําหรับ Website HTTP
Vega เปนเครื่องมือแบบ Open Source ซึ่งสามารถดาวนโหลดมาพัฒนาตอได
ท่ี https://github.com/subgraph/Vega โดยโมดลูการตรวจสอบจะถูกเขียนใน JavaScript
ไฟลท่ีเกี่ยวของ
- VegaSetup32 หรือ VegaSetup64
หนา 2 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
1. ข้ันตอนการติดตั้ง
1.1 ใหผูใชเขาไปท่ีเว็บ https://subgraph.com/vega/download/index.en.html เพ่ือดาวนโหลดไฟลติดตั้ง
โดยผูใชจะตองกรอก E-mail เพ่ือยืนยันตัวตนกอนดาวนโหลด ซึ่งทางเว็บจะใหโหลดฟรไีมมีคาใชจายใด ๆ
1.2 เลือกตามระบบปฏิบัติการของผูใช
หนา 3 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
1.3 จะไดไฟล VegaSetup ใหผูใชทําการติดตั้ง Vega ลงบนคอมพิวเตอร
หนา 4 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
2. การใชงาน Vega
2.1 หนาแรกของโปรแกรม
- หนา Scanner
- หนา Proxy
หนา 5 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
2.2 ใหผูใชคลิกท่ี (1)Start New Scan แลวกรอก (2)URL ของเว็บไซตท่ีตองการจะสแกน
1 2
หนา 6 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
2.3 เลือกขอบเขตในการสแกน วาตองการสแกนหาชองโหวแบบใดบาง แลวกด (3)Next
2.4 สวนน้ีจะเปนการเลือกคุกก้ีท่ีเราไดตั้งคาไว ในสวนน้ีถาผูใชไมไดเจาะจงไปท่ีสวนใดสวนหน่ึงใหกด Next อีกครั้ง
แลวกด (4)Finish
3
4
หนา 7 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
2.5 โปรแกรมจะแสดงผลการสแกน และบอกจุดท่ีเสี่ยงของเว็บไซตเรา โดยแบงเปน 4 ระดับ คือ High (ความเสี่ยง
สูง) ,Medium (ความเสีย่งปานกลาง) ,Low (ความเสี่ยงต่ํา) และ Info (ขอมูล)
2.6 (5)แสดงรายละเอียดขอผดิพลาดของแตละจดุ
5
6
หนา 8 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
ในสวนของรายละเอียดก็จะบอกรายละเอียดตางๆ เชน
1. At a Glance จะบอกถึงรายระเอียดคราวๆ วาจุดท่ีพบน้ันอยูท่ีใด มคีวามเสีย่งมากแคไหน
2. Request บอกถึงจุดท่ีเว็บรองขอไป
3. Resource Content แสดงเน้ือหา Script ท่ีเปนจุดบกพรองตอความปลอดภัย
4. Discussion เปนการอภิปรายในเน้ือหาท่ีผิดพลาดท่ีสแกนพบ และอธิบายถึงแนวโนมท่ีอาจจะเกิดกับ
เว็บไซตได
5. Impact จะเปนการบอกถึงผลกระทบท่ีจะเกิดข้ึนหากไมแกไข
หนา 9 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
6. Remediation เปนสวนท่ีจะบอกถึงแนวทางแกไข เปนคําแนะนํา
7. References เปนสวนท่ีจะเช่ือมโมงไปยังอางอิงท่ีโปรแกรมได ใหขอมูลกับเรามา หรือคูมือในการ
แกไขจากผูพัฒนาภาษา Script น้ันๆ
2.7 (6)แสดงรายละเอียดจดุท่ีมีความเสีย่งในระดับ script ซึ่งจุดมารคสีแดงคือจุดท่ีมีความเสี่ยงท่ีผูไมหวังดีอาจนํา
ชองโหวน้ี ไปทําอันตรายกับเว็บไซตน้ัน ๆ ได
หนา 10 จาก 11
Vega Scanner กฤษดา โสมายัง; จันทรจิรา ปูสูงเนิน; ธํามรงค เวียงอินทร; พลอย เหลาพิลา; พัฒนกฤษณ ชาญศิริวฒัน; วรรณวิสา จันทะนป
2.8 ถาผูใชอยากทราบรายละเอียดท้ังหมดของขอผิดพลาด ใหคลิกท่ี (7)Proxy
7