Evaluating Web Application Vulnerability Scanning Tools for Developing Effective Attack Prevention Strategies.

Abstract

This independent study aims to assess network security and identify vulnerabilities in organizational applications using freely available vulnerability scanning tools. The objectives are to analyze preventive measures for vulnerabilities caused by system misconfigurations and web application weaknesses, and to effectively mitigate associated risks.Three vulnerability scanning tools OpenVAS, Nessus, and OWASP ZAP were selected due to their widespread recognition and varying capabilities. These tools were employed in a case study conducted with a medium-sized private organization to assess their effectiveness. Two rounds of scanning were conducted, with the second scan performed after remediation of vulnerabilities identified in the first round. A comparative analysis of vulnerabilities detected by each tool was then conducted, along with a comprehensive risk analysis. The identified vulnerabilities were classified according to the OWASP Top Ten 2021 standards to create a detailed vulnerability report. This report was presented to the organization's web application administrators, providing clear insights for remediation. High-risk vulnerabilities or those requiring immediate attention were highlighted for prompt action. Additionally, a vulnerability remediation guide was created to assist the organization in ongoing cybersecurity policy development and implementation.

การค้นคว้าอิสระนี้มีวัตถุประสงค์เพื่อตรวจสอบความมั่นคงปลอดภัยระบบเครือข่ายและค้นหาช่องโหว่บนแอปพลิเคชันขององค์กร โดยการใช้เครื่องมือสแกนช่องโหว่ที่สามารถใช้งานได้ฟรีโดยไม่เสียค่าใช้จ่าย เพื่อวิเคราะห์หาแนวทางการป้องกันช่องโหว่ที่เกิดจากการตั้งค่าระบบและช่องโหว่ที่อยู่บนเว็บแอปพลิเคชันขององค์กร และเพื่อดำเนินการลดความเสี่ยงที่จะเกิดขึ้นได้อย่างเหมาะสมและมีประสิทธิภาพผู้วิจัยได้ทำการเลือกใช้เครื่องมือสแกนช่องโหว่จำนวน 3 เครื่องมือประกอบด้วย OpenVAS, Nessus, OWASP ZAP ซึ่งเป็นเครื่องมือสแกนช่องโหว่ที่ได้รับการยอมรับในปัจจุบัน โดยแต่ละเครื่องมือมีความสามารถที่แตกต่างกันในการตรวจสอบช่องโหว่ประเภทต่างๆ มาทดลองใช้ตรวจสอบช่องโหว่ในองค์กรซึ่งเป็นบริษัทเอกชนขนาดกลางแห่งหนึ่ง โดยจะทำการสแกน 2 ครั้ง ซึ่งการสแกนครั้งที่ 2 จะเป็นการสแกนเพื่อหาช่องโหว่ภายหลังจากที่ดำเนินการแก้ไขตามผลการสแกนครั้งที่ 1 และจะมีการเปรียบเทียบช่องโหว่ที่พบจากแต่ละเครื่องมือที่ใช้ประกอบกับการวิเคราะห์ความเสี่ยงที่จะเกิดขึ้น รายการช่องโหว่ที่ค้นพบจะถูกนำมาจัดกลุ่มรายการความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บแอปพลิเคชัน ตาม OWASP Top Ten 2021 และจัดทำเป็นรายงานการค้นพบช่องโหว่สำหรับนำเสนอต่อเจ้าหน้าที่ที่ดูแลเว็บแอปพลิเคชันขององค์กร เพื่อให้ผู้ดูแลระบบสามารถหาแนวทางการแก้ไขช่องโหว่ที่เกิดขึ้น ทำการปรับปรุงช่องโหว่พี่พบที่มีความเสี่ยงสูงหรือความเสี่ยงที่ต้องรีบทำการแก้ไข และจัดทำเป็นคู่มือการแก้ไขช่องโหว่ไว้ให้กับองค์กรได้ใช้ประโยชน์และใช้ในการพัฒนาด้านนโยบายความมั่นคงปลอดภัยไซเบอร์ภายในองค์กรอีกด้วย