การประเมินวิธีแก้ไขปัญหาการโจมตีด้วยการเปลือยเอสเอสแอล

เมื่อไม่นานมานี้ การโจมตีด้วยเทคนิคการเปลือย เอสเอสแอล (SSL Stripping) ถูกแฮ็กเกอร์จำนวนมากนำไป ใช้เพื่อทำลายการรักษาความมั่นคงของระบบธนาคาร ออนไลน์ เว็บไซต์พาณิชย์อิเล็กทรอนิกส์ (E-commerce) และ ระบบโปรแกรมประยุกต์เว็บอื่นๆ ทั้งนี้ ได้มีงานวิจัยหลาย ชิ้นที่ได้ศึกษาถึงเทคนิคการโจมตีและนำเสนอวิธีการแก้ ปัญหา แต่การแก้ปัญหาเหล่านั้นล้วนไม่ได้รับการตรวจสอบ อย่างจริงจัง และยังมีคำถามว่าสามารถปกป้องระบบได้จริง หรือไม่ งานวิจัยนี้มีจุดมุ่งหมายเพื่อประเมินวิธีการแก้ไข ปัญหาที่ถูกนำเสนอเหล่านั้น ด้วยการทดสอบบนเครือข่าย ทดลอง (Test-bed) โดยใช้ประสิทธิผลของการป้องกันความ เป็นมิตรกับผู้ใช้ข้อจำกัดในการรับมือการโจมตีของ Script Kiddies ได้เท่านั้น และความครอบคลุมการทำงานของ แพลตฟอร์ม เป็นเกณฑ์ในการประเมินจากการทดสอบเปิด เผยให้เห็นว่าวิธีการแก้ไขปัญญาที่ถูกนำเสนอเหล่านั้น สามารถถูกทำลายได้อย่างง่ายดายด้วยการแก้ไขโค้ดของ การโจมตีเพียงไม่กี่บรรทัดของแฮ็กเกอร์ที่มีความเชี่ยวชาญ ซึ่งผลจากงานวิจัยนี้จะสามารถนำไปใช้เป็นแนวทางการ ออกแบบวิธีการแก้ปัญหารูปแบบใหม่ที่มีประสิทธิภาพใน การป้องกันการโจมตีจากเทคนิค SSL Stripping ต่อไป

Experimental Evaluation of SSL Stripping Attack Solutions

Somnuk Puangpronpitag and Apirak Tooltham

Recently, SSL stripping attacks have been deployed by several hackers to break the security of online banking services, e-commerce webs and other web applications. Several studies have done to investigate the attacking techniques, and several solutions have also been proposed. However, the proposed solutions have not been investigated seriously, and still very questionable. This paper aims at evaluating extensively the previous proposed solutions using an experimental test-bed. Effectiveness, user-friendliness, script-kiddy-only limitation, platform coverage are our proposed evaluation criteria. The experimental results from this work can direct to the design of a new effective solution for the SSL stripping attacks.