Penetration Testing – A Case Study of Khon Kaen University Networks

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
By Chawin Chantharasenawong 26/06/10
Advertisements

Introduction with Examples HTML5
วิธีการตั้งค่าและทดสอบ เครื่องคอมพิวเตอร์ก่อนใช้งาน
Pranom Buppasiri 8th April 2011
L/O/G/O. •PariyapornPisutsinNo.3 •PitchayaPattamapornpongNo.6 •AtthitayaThipsukhumNo.8 Class 4/4 Mahidol Wittayanusorn School •PariyapornPisutsinNo.3.
การซ้อนทับกัน และคลื่นนิ่ง
Graphical User Interface charturong.ee.engr.tu.ac.th/CN208
Penetration Testing การทดสอบเจาะระบบ
WIFI Hotspot Plugin for netfilter/iptables
Braille OCR Mobile Application
Basic programming (JAVA)
Emergency Response System for Elderly and PWDs: Design & Development
นายรังสฤษดิ์ตั้งคณา รหัส นายวสันต์ ชานุชิต รหัส อาจารย์ที่ปรึกษาโครงการ ผศ. ดร. ดารณี หอมดี อาจารย์ที่ปรึกษาโครงการร่วม ดร. วาธิส.
Multilayer Feedforward Networks
เปรียบเทียบจำนวนประชากรทั้งหมดจากฐาน DBPop Original กับจำนวนประชากรทั้งหมดที่จังหวัดถือเป็นเป้าหมาย จำนวน (คน) 98.08% % จังหวัด.
อาจารย์ที่ปรึกษาโครงการ
บทที่ 12 Virtual Private Networks
Chapter 19 Network Layer: Logical Addressing

ผศ.(พิเศษ)น.พ.นภดล สุชาติ พ.บ. M.P.H.
Course Software Engineering SE Overview and Introduction.
ASP [#15] การใช้งาน ASP กับ Mysql ผ่าน ODBC การทำสมุดเยี่ยม Guestbook
ASP [ # 11 ] เตรียมความพร้อมก่อนติดต่อกับ Ms Access
December 25 th, 2013 Naresuan University Hospital, Faculty of Medicine, Naresuan University December 25 th, 2013 Naresuan University Hospital, Faculty.
INC341 State space representation & First-order System
การเชื่อมต่อกับฐานข้อมูล
– Web Programming and Web Database
PHP session / Login Professional Home Page :PHP
Php with Database Professional Home Page :PHP
PHP with Form ฟอร์ม คือหน้าจอที่ใช้เป็นสื่อกลางในการติดต่อระหว่างผู้ใช้เว็บไซต์ กับ เจ้าของเว็บไซต์ โดยผู้ใช้สามารถกรอกข้อมูลผ่านฟอร์มส่งไปยังเซอร์เวอร์
Joomla Virtual Mart ดาวโหลดไฟล์ : \\geradt
บทที่ 2 งบการเงินพื้นฐาน BASIC FINANCIAL STATEMENTS 2.
By Dr Nongyao Premkamolnetr Policy Innovation Center, KMUTT 17 January 2009.
PHP Connect Database.
Kampol chanchoengpan it สถาปัตยกรรมคอมพิวเตอร์ Arithmetic and Logic Unit 1.
Implementation & Testing, Plan, Result and Evaluation March 6th, 2010
Introduction to webmaster Introduction to webmaster 1. บริการที่พบใน Internet 2. เป้าหมายของการพัฒนาเว็บไซต์ 3. ปัญหาของเว็บมาสเตอร์
Page: 1 โครงสร้างคอมพิวเตอร์ และภาษาแอสเซมบลี้ ผศ. บุรินทร์ รุจจน พันธุ์.. ปรับปรุง 19 ตุลาคม 2555 Introduction to Batch.
PHP:Hypertext Preprocessor
Food Alert System of Thailand (FAST) EU-Thailand Economic Co-operation Small Projects Facility.
Liang, Introduction to Java Programming, Sixth Edition, (c) 2007 Pearson Education, Inc. All rights reserved Java Programming Language.
The ServerSocket Class ใช้ในการจัดทำเครื่องที่เป็นการบริการ ใช้ในการจัดทำเครื่องที่เป็นการบริการ โดยจะมี ช่วงชีวิตดังนี้ โดยจะมี ช่วงชีวิตดังนี้
การสร้าง WebPage ด้วย Java Script Wachirawut Thamviset.
Chapter 3 Simple Supervised learning
การเขียนโปรแกรม PHP เชื่อมต่อกับ MySQL
PHP for Web Programming
เสรี ชิโนดม PHP กับ Form เสรี ชิโนดม
การใช้งานระบบจัดการฐานข้อมูล Mysql ผ่าน phpmyadmin
An Online Computer Assisted Instruction Development of Electronics Devices Subject for Learning Effectiveness Testing By Assoc.Prof. Suwanna Sombunsukho.
CHAPTER 12 FORM.
Introduction of DREAM สุวรรณา ประณีตวตกุล คณะเศรษฐศาสตร์ มหาวิทยาลัยเกษตรศาสตร์
Bitcoin Mining. Hello, I’m Pawaris and I love Bitcoin.
เรื่องการประยุกต์ของสมการเชิงเส้นตัวแปรเดียว
Introduction to PHP, MySQL – Special Problem (Database)
World Wide Web. You will know หัวเรื่องหลักๆทั้งหมด 5 หัวข้อดังนี้ Basic Web Concept Web application in daily life Essential Web Developer Language How.
ASP เตรียมความพร้อมก่อนติดต่อกับ Ms Access การนำข้อมูลจากตารางมาแสดง
ภาษาอังกฤษเพื่อการสื่อสาร อ32204
An Overview on. Thai Meteorological Department Vision Aspiring to the excellence in meteorology at the international level Mission To supply weather forecasts.
 Mr.Nitirat Tanthavech.  HTML forms are used to pass data to a server.  A form can contain input elements like text fields, checkboxes, radio-buttons,
1 LAN Implementation Sanchai Yeewiyom School of Information & Communication Technology Naresuan University, Phayao Campus.
1 การใช้งานระบบจัดการ ฐานข้อมูล Mysql ผ่าน phpmyadmin.
ZWSP Word break, Space and Search Engine Wason Liwlompaisan Blognone Co-Founder, Software Developer, most of all I'm just a geek.
การประชุมชี้แจงเรื่อง การจ่ายเงินผ่านระบบ KTB corporate online
Introduction TO Web PRogramming
Network programming Asst. Prof. Dr. Choopan Rattanapoka
การดำเนินงาน OSCC ศูนย์ช่วยเหลือสังคม
รายงานการระบาดศัตรูพืช
ประกาศกรมสวัสดิการและคุ้มครองแรงงาน เรื่อง กำหนดแบบและวิธีการรายงานผลการฝึกซ้อมดับเพลิงและฝึกซ้อมอพยพหนีไฟทางสื่ออิเล็กทรอนิกส์ วันที่ประกาศในราชกิจจานุเบกษา
Injection.
<insert problem title>
ใบสำเนางานนำเสนอ:

Penetration Testing – A Case Study of Khon Kaen University Networks การทดสอบเจาะระบบ - กรณีศึกษาเครือข่ายของมหาวิทยาลัยขอนแก่น

Kitt Tientanopajai, D.Eng Assoc.Prof. Arnut Chaosakul COE2007-04 Advisor Kitt Tientanopajai, D.Eng Co-Advisor Assoc.Prof. Arnut Chaosakul Assoc.Prof. Pichate Chiewthanakul Member Mr. Pongphop Laochaikun 473040597-8 Miss Arttaporn Pansamdang 473040629-1

Agenda Progress Result of Penetration Introduction to WeVSA WeVSA Operational Procedure Problem Future work Demo

Progress Activities Study network system Study old vulnerability JUN JUL AUG SEP OCT NOV DEC JAN FEB Study network system Study old vulnerability Study penetration testing Design testing step Penetrate systems Improve technique Design WeVSA(program) Implement WeVSA Recommendation Comment: In Progress Not started Finished

Result of Penetration 1/4 51 servers tested 7 Critical Vulnerabilities

Result of Penetration 2/4

Result of Penetration 3/4 1 2 3

Result of Penetration 4/4 1 2

Introduction to WeVSA

WeVSA Operational Procedure 1/3 Server’s name Scan Attack

Server’s name Signal for Start Result

<script>alert(Document.cookie);</script> SQL Injection Etc.. [T’ or 1=1 --] Cross-Stie Scripting <script>alert(Document.cookie);</script> Java Script Injection Hidden filed Attack

IP Address page Result vulnerability 202.28.92.35 http://www.agecon.kku.ac.th/LoginAdmin.asp ทดสอบ SQL Injection ที่ ช่องรับ input จะสามารถเข้าสู่ระบบในนาม admin ได้ YES http://www.agecon.kku.ac.th/Webboard/Webboard.asp?ID=21 ทดสอบ XSS ผลคือสามารถรัน script ได้ 202.12.97.32 http://ams.kku.ac.th/admin/login.php ทดสอบ SQL Injection ที่ ช่องรับ input โดยใช้ username เป็นได้หลากหลาย แต่ที่ password ให้ใส่เป็น space จะสามารถ access ในระดับ admin ได้ 202.28.117.36 http://www.hsdb.kku.ac.th/hsproject/program/material/ma_materialstock_rpt01.php เมื่อเข้าสู่หน้านี้ก็จะได้สิทธิ์เป็น admin ทันที 202.28.117.5 http://ora.kku.ac.th/Board_news/login.asp ทดสอบ SQL Injection ที่ ช่องรับ input โดยใช้ admin' or '1=1 202.28.92.18 http://www.heart.kku.ac.th/phpmyadmin/ สามารถใช้ user = root และ password เป็นช่องว่างได้ สามารถ access เป็น root ได้ Yes http://www.heart.kku.ac.th/phpMyAdmin/db_details_importdocsql.php สามารถเข้าเป็น root ได้ sever name IP Address page Result vulnerability www.agecon.kku.ac.th 202.28.92.35 http://www.agecon.kku.ac.th/LoginAdmin.asp ทดสอบ SQL Injection ที่ ช่องรับ input จะสามารถเข้าสู่ระบบในนาม admin ได้ YES http://www.agecon.kku.ac.th/Webboard/Webboard.asp?ID=21 ทดสอบ XSS ผลคือสามารถรัน script ได้ ams.kku.ac.th 202.12.97.32 http://ams.kku.ac.th/admin/login.php ทดสอบ SQL Injection ที่ ช่องรับ input โดยใช้ username เป็นได้หลากหลาย แต่ที่ password ให้ใส่เป็น space จะสามารถ access ในระดับ admin ได้ www.huso.kku.ac.th 202.28.117.36 http://www.hsdb.kku.ac.th/hsproject/program/material/ma_materialstock_rpt01.php เมื่อเข้าสู่หน้านี้ก็จะได้สิทธิ์เป็น admin ทันที ora.kku.ac.th 202.28.117.5 http://ora.kku.ac.th/Board_news/login.asp ทดสอบ SQL Injection ที่ ช่องรับ input โดยใช้ admin' or '1=1 www.heart.kku.ac.th 202.28.92.18 http://www.heart.kku.ac.th/phpmyadmin/ สามารถใช้ user = root และ password เป็นช่องว่างได้ สามารถ access เป็น root ได้ Yes http://www.heart.kku.ac.th/phpMyAdmin/db_details_importdocsql.php สามารถเข้าเป็น root ได้

WeVSA Operational Procedure 2/3 Target Attack

Penetrate by technique Target Result http response

WeVSA Operational Procedure 3/3

Problem WeVSA waiting for scanning from scanner solved by use Thread. WeVSA must clear results from last scanning. First program cannot delete results because objects was connected with file. We solved by clear garbage collection before deleted.

Future work Implement WeVSA Documentation Penetrate network systems

Thank you for your listening Anyone has any question? Thank you for your listening