--- PAGE 1 ---
โครงการจ้างพัฒนาระบบงาน
บริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service)
ธนาคารเพื่อการเกษตรและสหกรณ์การเกษตร
งวดงานที่ 6
Non-Functional Test (NFT)
- รายงานผลการจัดการปิดช่องโหว่ (Vulnerability Test)
ditto บริษัท ดิทโต้ (ประเทศไทย) จำกัด (มหาชน)

--- PAGE 2 ---
ตนฉบับ
容
ธนาคารเพื่อการเกษตรและสหกรณ์การเกษตร
รายงานผลการตรวจสอบความปลอดภัยของระบบ
การทดสอบหาช่องโหว Vulnerability Assessment
โครงการสัญญาจ้างพัฒนาระบบงานบริหารจัดการ
คุณภาพหนี้เพื่อยกระดับการให้บริการ
รายงานเมื่อ วันที่ 2 ธันวาคม พ.ศ. 2568

--- PAGE 3 ---
容
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
โครงการสัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
ชื่อเอกสาร :
คณะทำงาน :
รายงานผลการตรวจสอบความปลอดภัยของระบบ Vulnerability Assessment
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
รายงานผลการตรวจสอบความปลอดภัยของระบบ Vulnerability assessment
Version no.: 1.1
Date : 2 ธันวาคม 2568
File name:
เลขที่ : 64006243
ผู้เขียน : บริษัท บิซ โฟล์ค จำกัด
9
ผู้ผลิตเอกสาร : บริษัท บิซ โฟล์ค จำกัด
ประเภทเอกสาร :
( / ) เอกสารส่งมอบตามสัญญา
(
) เอกสารภายในโครงการ
(
) เอกสารส่งมอบเพิ่มเติม
(
) รายงานประจำ
(
(
) รายงานพิเศษ...
.....................
Page 2 of 29
ข

--- PAGE 4 ---
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
Revision History
ค
No.
Version
Date of
A/M/D
Description of Change
Author
(V.X.X)
Change
(YYYYMMDD)
1
V1.0
20251110
A
Initial Version
1
V1.1
20251202
M
Revised Version
Biz Folk
Biz Folk
A = Added
M
= Modified
บริษัท ดิตโต้ จำกัด (มหาชน)
Kittill
ม
ผู้จัดการโครงการ
2 ธันวาคม 2568
Project Sign off
D = Deleted
บริษัท บิซ โฟล์ค จำกัด
S.Thanapol
(ธนพล ไทรชมภู)
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์
2 ธันวาคม 2568
Page 3 of 29

--- PAGE 5 ---
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
ง
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
สารบัญ
คำนำ
ความเป็นมา.
วัตถุประสงค์ของโครงการ
บทที่ 1 บทนำ (Introduction).
1.1 ภาพรวมของการทดสอบ.
1.2 วัตถุประสงค
1.3 การวิเคราะห์ระดับความเสี่ยงตามรายการช่องโหว่ที่ตรวจพบ
บทที่ 2 ขอบเขตการดำเนินงาน
2.1 ระยะเวลาการทดสอบ.
2.2 เครื่องมือที่ใช้ในการทดสอบ
2.3 ทีมทดสอบ.
2.4 ขอจำกัด
บทที่ 3 แนวทางการทดสอบ...
3.1 วิธีการที่ใช้ในการทดสอบ
3.2 ข้อมูลอ้างอิงที่ใช้ประเมินความเสี่ยง
3.3 เมทริกซ์ของผลกระทบและความน่าจะเป็น (Impact and Likelihood Matrix).
3.4 ระดับการจัดอันดับความเสี่ยง (Risk rating level)...
บทที่ 4 สรุปช่องโหว่ทีตรวจพบ.
บทที่ 5 รายละเอียดของช่องโหว่จากการทดสอบหาช่องโหว่
5.1 ตรวจพบว่ามีการใช้ RHEL kernel package ที่ไม่อัพเดทในเครื่องเป้าหมาย..
บทที่ 6 ผลการทดสอบหาช่องโหว่
6.1 การทดสอบหาช่องโหว Image Module M3.
6.2 การทดสอบหาช่องโหว่ Image Module M4.
6.3 การทดสอบหาช่องโหว่ Image Module COJ.
Page 4 of 29
ช
.ช
ช
ซ
ซ
1
1
2
2
2
4
4
5
.5
.6
16
.20
22
.22
.23
.23
.26
26
.26
.27
.29

--- PAGE 6 ---
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
สารบัญตาราง
ตารางที่ : 1 ผลการทดสอบรายละเอียดเป้าหมายสำหรับการทดสอบหาช่องโหว่ (Vulnerability Assessment).
ตารางที่ : 2 แสดงระยะเวลาการทดสอบที่ได้ดำเนินการ
ตารางที่ : 3 แสดงเครื่องมือที่ใช้ทดสอบตามรายการ
ตารางที่ : 4 การทดสอบได้ดำเนินการโดยทีมทดสอบตามรายชื่อในตารางด้านล่าง
ตารางที่ : : 5 ประเภทของการทดสอบหาช่องโหว่และการทดสอบเจาะระบบ
จ
2
2
4
.5
ตารางที่ : 6 รายงานของ OWASP Top 10 Application Security Risks 2021 (https://owasp.org/Top10/)..................
ตารางที่ : : 7 ความหมายของหัวข้อที่เกี่ยวข้องกับ Common Weakness enumuration.
_
ตารางที่ : 8 คะแนนของผลกระทบในด้าน "เชิงเทคนิค" และ "เชิงธุรกิจ"..
ตารางที่ : 9 คะแนนปัจจัยของ "ตัวแทนผู้ลักลอบ" และ "ช่องโหว่" ที่ใช้ประเมินความน่าจะเป็น
ตารางที่ : 10 สรุปช่องโหว่ที่ตรวจพบจากการเจาะระบบและความเสี่ยงที่เกี่ยวข้อง
Page 5 of 29
14
.16
18
22

--- PAGE 7 ---
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
สารบัญรูป
รูปที่: 1 กราฟแสดงจํานวนของระดับความเสี่ยงที่วิเคราะห์ตามรายการช่องโหว่ที่ตรวจพบ..
Page 6 of 29
ฉ
1

--- PAGE 8 ---
ความเป็นมา
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คำนํา
ช
ธนาคารเพื่อการเกษตรและสหกรณ์การเกษตร ซึ่งต่อไปนี้เรียกว่า “ธ.ก.ส.” มีความประสงค์จะบริหาร
จัดการลูกค้าที่ผิดนัดชำระหนี้อย่างมีประสิทธิภาพ เพื่อลดอัตราการเกิดหนี้เสียซึ่งกระทบกับต้นทุนโดยตรงและ
ต้นทุนด้านความเสี่ยงของธนาคาร ความจำเป็นในการบริหารจัดการหนี้ด้วยกลยุทธ์ จากการวิเคราะห์ข้อมูล
และเครื่องมือในการบริหารจัดการหนี้ที่เหมาะสมเป็นปัจจัยสำคัญที่จะช่วยปัญหาดังกล่าว ทางธนาคารสามารถ
ใช้ทรัพยากร และบุคลากรที่มีอยู่ อย่างคุ้มค่าเพื่อลดความสูญเสียที่เกิดขึ้น โดยธนาคารสามารถบริหารจัดการ
หนี้ได้อย่างเป็นระบบและมีประสิทธิภาพ ปัจจุบันธนาคารได้ดำเนินโครงการพัฒนาระบบงานบริหารจัดการ
คุณภาพหนี้ (End To End Process) สำหรับช่วยงานในกระบวนการปรับปรุงโครงสร้างหนี้ที่กลุ่มลูกหนี้ที่เป็น
หนีดอยคุณภาพ (Non-Performing Loans: NPLs)
บม
ธนาคารจึงได้มีแนวทางพัฒนาโครงการเพิ่มประสิทธิภาพระบบงานบริหารจัดการคุณภาพหนี้เพื่อ
ยกระดับการให้บริการ (Enhance Debt Management Service) ซึ่งมีประกอบไปด้วย ระบบสามารถรองรับ
การทำงานได้ขณะมีสัญญาณอินเตอร์เน็ต (Online Mode) และไม่มีสัญญาณอินเตอร์เน็ต (Offline Mode) ให้
สามารถทำผ่านช่องทางการให้บริการของธนาคาร เช่น ช่องทางคอมพิวเตอร์แท็บเล็ต (Tablet Computer)
ของธนาคาร ช่องทางคอมพิวเตอร์บุคคล (Personal Computer) คอมพิวเตอร์โน้ตบุ๊ก (Laptop Computer)
ของธนาคาร เชื่อมต่อกับฐานข้อมูลศูนย์ข้อมูลส่วนกลางของธนาคาร เพื่อให้สามารถจัดเก็บข้อมูลและการ
กําหนดตัวชี้วัดผลงาน (KPI) รวมถึงเชื่อมต่อกับระบบต่างๆ ของธนาคารได้ ด้วย API ที่เป็นอย่างน้อย โดยมี
รายละเอียดขอบเขตของงาน (Terms of Reference: TOR) ตามที่แนบเอกสารฉบับนี้
วัตถุประสงค์ของโครงการ
ม
1. เพื่อเพิ่มประสิทธิภาพระบบงานบริหารจัดการคุณภาพหนี้ สนับสนุนการขับเคลื่อนงานบริหารจัดการ
คุณภาพหนี้ให้บรรลุเป้าหมายตามอัตรากำหนด
2. เพื่อให้ธนาคารสามารถบริหารจัดการลูกหนี้ที่เป็นหนี้ด้อยคุณภาพได้อย่างมีประสิทธิภาพ
3. เพื่อสนับสนุนช่วยเจ้าหน้าที่ โดยการลดภาระค่าใช้จ่ายในการเดินทางมาติดต่อธนาคาร
Page 7 of 29

--- PAGE 9 ---
1.1 ภาพรวมของการทดสอบ
ม
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
บทที่ 1 บทนำ (Introduction)
ช
การทดสอบหาของโหว (Vulnerability Assessment) เป็นกระบวนการที่มุ่งเน้นการประเมินความ
มั่นคงปลอดภัยของระบบ โดยอาศัยการจำลองรูปแบบการโจมตีระบบเพื่อค้นหาช่องโหว่และประเมินความ
ทนทานของระบบต่อการโจมตีในสถานการณ์ใกล้เคียงของจริง การทดสอบลักษณะนี้มุ่งเน้นการวิเคราะห์
พฤติกรรมจากมุมมองของผู้โจมตีที่มีเจตนามุ่งร้าย ทั้งการโจมตีโดยตรงและทางอ้อมเพื่อเข้าถึงข้อมูลที่สำคัญ
การทดสอบดังกล่าวช่วยให้สามารถตรวจพบข้อบกพร่องและช่องโหว่ที่อาจเกิดขึ้นในระบบ เพื่อให้ผู้ดูแลระบบ
สามารถปรับปรุงและแก้ไขจุดอ่อนเหล่านั้นได้อย่างเหมาะสม อันจะส่งผลให้ระบบสารสนเทศมีระดับความ
ปลอดภัยและความน่าเชื่อถือที่สูงขึ้นรองรับการใช้งานภายในองค์กร
การทดสอบครั้งนี้เป็นการดำเนินการทดสอบหาช่องโหว่ (Vulnerability Assessment) บนระบบ
COJ ที่ทดสอบสอบทั้ง Non-Production (UAT Environment) และ Production โดยเป็นการทดสอบแบบ
ใช้ Credential สำหรับเครื่องเป้าหมายที่อยู่ในระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
โดยครอบคลุมทั้ง
•
การสแกนระบบปฏิบัติการ (OS Vulnerability Scanning)
การสแกนช่องโหว่บน Image File (Image Vulnerability Scanning)
ซึ่งดำเนินการผ่านเครื่องมือเชิงพาณิชย์ (Commercial Tools) ได้แก่ Nessus Professional สำหรับ
การสแกนช่องโหว่ของระบบปฏิบัติการ (Operating System) บนเครื่องเป้าหมายในสภาพแวดล้อม UAT และ
Trivy สําหรับการสแกนช่องโหว่บน Image File ที่ใช้สำหรับการ build file ติดตั้งระบบ โดยรายละเอียด
เครื่องเป้าหมายแสดงตามตารางที่ 1 และ ผลการทดสอบการหาช่องโหว่ตามตารางที่ 2 ตามลำดับ
Page 8 of 29

--- PAGE 10 ---
容
S2-
1
ประเภทการทดสอบ
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
9
(Enhance Debt Management Service) 64006243
ตารางที่ : 1 ผลการทดสอบรายละเอียดเป้าหมายสำหรับการทดสอบหาช่องโหว่ (Vulnerability Assessment)
เป้าหมายทดสอบ
ชื่อเครื่อง
สภาพแวดลอม
ครั้งที่ 1
ครั้งที่ 2
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
Critical
High
172.31.181.148
E2E-COJ-APP01D
UAT
0
0
Medium
○
2
172.31.181.149
E2E-COJ-SFTP01D
UAT
0
1
0
(OS Vulnerability
3
Scanning)
การสแกนระบบปฏิบัติการ
172.31.181.204
E2E-COJ-DB01D
UAT
0
1
(OS Vulnerability
4
Scanning)
การสแกนระบบปฏิบัติการ
172.29.149.31
E2E-COJ-APP VIP
DC
0
(OS Vulnerability
○
мот
Information
Critical
0 0
0
0
High
Medium
0
ΜΟΤ
Information
0 0 0
0
0 000 0
00 0
0 0
○
○
0
5
Scanning)
การสแกนระบบปฏิบัติการ
172.26.181.23
E2E-COJ-APP01P
DC
0
1
0
0
0
(OS Vulnerability
0
00 0
00
○
00 0
Scanning)
การสแกนระบบปฏิบัติการ
172.26.181.24
E2E-COJ-APP02P
DC
0
0
0
0 0
0
(OS Vulnerability
Page 9 of 29

--- PAGE 11 ---
容
ہے
ท
ประเภทการทดสอบ
เปาหมายทดสอบ
ชอเครอง
7
Scanning)
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
10
(Enhance Debt Management Service) 64006243
สภาพแวดลอม
Critical
High
ครั้งที่ 1
Medium
ΜΟΤ
Information
172.26.181.25
E2E-COJ-APP03P
DC
0
0
0 0
0
Critical
00
8
172.29.149.32
E2E-COJ-SFTP VIP
DC
0
0
0
00
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
172.26.181.27
E2E-COJ-SFTP01P
DC
0
(OS Vulnerability
Scanning)
○
10
การสแกนระบบปฏิบัติการ
172.26.181.28
E2E-COJ-SFTP02P
DC
1
(OS Vulnerability
11
Scanning)
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
172.29.149.33
E2E-COJ-DB VIP
DC
0
0
12
172.26.180.79
E2E-ESXi109.it.baac.or.th
DC
0
0
(OS Vulnerability
Page 10 of 29
0
0
O
2
ครงท 2
High
Medium
ΜΟΤ
Information
0 000 0
O
0
о
0
0
0
O
000
0
0
0
0
0
○
00
о
0
0
0 0 0
00
0
0
0
0

--- PAGE 12 ---
容
ہے
ท
ประเภทการทดสอบ
เปาหมายทดสอบ
ชอเครอง
Scanning)
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
11
(Enhance Debt Management Service) 64006243
สภาพแวดลอม
Critical
High
ครั้งที่ 1
Medium
ΜΟΤ
Information
13
การสแกนระบบปฏิบัติการ
172.26.180.12
E2E-Alletra101
DC
0
0
0 0
0
(OS Vulnerability
Scanning)
14
การสแกนระบบปฏิบัติการ
172.26.180.13
E2E-Alletra102
DC
0
0
0
00
(OS Vulnerability
Scanning)
15
การสแกนระบบปฏิบัติการ
172.26.181.85
E2E-COJ-DB01P
DC
0
1
(OS Vulnerability
Scanning)
16
การสแกนระบบปฏิบัติการ
172.26.181.86
E2E-COJ-DB02P
DC
0
1
(OS Vulnerability
Scanning)
17
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
0
172.31.149.31
E2E-COJ-APP VIP
DR
0
0
0
00
O
0
○
0
Critical
18
172.31.180.13
E2E-ESXi209.it.baac.or.th
DR
0
0
0
(OS Vulnerability
Page 11 of 29
2
ครงท 2
High
Medium
ΜΟΤ
Information
0 000 0
0
O
0
0
000
0
0
○
о
00
0
0
0 0 0
00
0
0
0
0

--- PAGE 13 ---
容
ہے
ท
ประเภทการทดสอบ
เปาหมายทดสอบ
ชอเครอง
19
20
20
Scanning)
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนระบบปฏิบัติการ
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
12
(Enhance Debt Management Service) 64006243
สภาพแวดลอม
Critical
High
ครั้งที่ 1
Medium
ΜΟΤ
Information
172.26.180.79
E2E-ESXi109.it.baac.or.th
DR
0
0
0 0
0
172.31.181.27
E2E-COJ-APPO1S
DR
BR
(OS Vulnerability
21
Scanning)
การสแกนระบบปฏิบัติการ
172.31.181.28
E2E-COJ-APPO2S
(OS Vulnerability
22
22
0
0
0
00
HE
DR
0
1
Scanning)
การสแกนระบบปฏิบัติการ
172.31.181.29
E2E-COJ-SFTP01S
DR
0
1
(OS Vulnerability
0
H
DR
0
1
0
00
Critical
O
0
○
2
ครงท 2
High
Medium
ΜΟΤ
Information
0 000 0
0
0
M3 Module
UAT DC DR
0
0
0
0
23
24
Scanning)
การสแกนระบบปฏิบัติการ
(OS Vulnerability
Scanning)
การสแกนช่องโหว่บน Image
File (Image Vulnerability
172.31.181.82
E2E-COJ-DB01S
M3_image.tar
frontend-react:v2.2.12
Page 12 of 29
O
0
000
0
0
0
○
о
00
0
0
0 0 0
00
0
0
0
0

--- PAGE 14 ---
容
ہے
ท
ประเภทการทดสอบ
เปาหมายทดสอบ
ชอเครอง
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
13
(Enhance Debt Management Service) 64006243
สภาพแวดลอม
Critical
High
ครั้งที่ 1
Medium
ΜΟΤ
Information
25
File (Image Vulnerability
การสแกนช่องโหว่บน Image
M3_image.tar
Backend-go-api
M3 Module
UAT DC DR
0
0
0 0
0
26
27
Scanning)
Critical
2
ครงท 2
High
Medium
ΜΟΤ
Information
0 000 0
Scanning)
การสแกนช่องโหวบน Image
File (Image Vulnerability
M3_image.tar
Report-server-api
M3 Module
UAT DC DR
0
0
0
00
0
Scanning)
การสแกนช่องโหว่บน Image
File (Image Vulnerability
Scanning)
M3_image.tar
dashboard-ui:v1.0.51
M3 Module
UAT DC DR
00
00
28
การสแกนชองโหวบน Image
File (Image Vulnerability
M3_image.tar
dayend-batch:1.0.1
M3 Module
UAT DC DR
○
Scanning)
การสแกนชองโหวบน Image
M4
M4 Module
UAT DC DR
0
0
29
30
File (Image Vulnerability
Scanning)
การสแกนช่องโหว่บน Image
File (Image Vulnerability
baaccoreservice20251110.tar
COJ
COJ Module
UAT DC DR
0
0
baac-api-frontend.tar
Page 13 of 29
O
O
0
о
○
O
0
0
O
000
0
0
0
0
0
○
00
о
0
0
0 0 0
00
0
0
0
0

--- PAGE 15 ---
Page 14 of 29
31
Scanning)
การสแกนช่องโหวบน Image
File (Image Vulnerability
Scanning)
容
ہے
ท
S
ประเภทการทดสอบ
เปาหมายทดสอบ
ชอเครอง
COJ
COJ Module
UAT DC DR
0
baac-api-backend.tar
Critical
High
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
14
สภาพแวดลอม
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
ครั้งที่ 1
ครงท 2
Medium
Low
Information
Critical
0 0 0 0
0 0 0 | 0 0
High
Medium
Low
Information

--- PAGE 16 ---
5☑
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
1
1.2 วัตถุประสงค์
วัตถุประสงค์ของการทดสอบ มีดังนี้
เพื่อค้นหา ตรวจสอบ และระบุช่องโหว่ที่อาจมีอยู่ในระบบเป้าหมายขององค์กร เพื่อเปิดเผย
จุดอ่อนที่อาจถูกผู้ไม่หวังดีใช้ประโยชน์ในการโจมตี
• เพื่อประเมินความเสี่ยงที่เกี่ยวข้องกับแต่ละช่องโหว่ที่ตรวจพบ โดยจําแนกตามระดับความรุนแรง
ของความเสี่ยงและจัดลำดับความสำคัญในการดำเนินการแก้ไขหรือบรรเทาผลกระทบที่อาจ
เกิดขึ้น
• เพื่อให้ข้อเสนอแนะในการเพิ่มประสิทธิผลในการป้องกันการโจมตีจากผู้บุกรุก และปรับปรุง
มาตรการป้องกันและระบบความปลอดภัยตามที่ได้รับจากการทดสอบ
1.3 การวิเคราะห์ระดับความเสี่ยงตามรายการช่องโหว่ที่ตรวจพบ
ในการทดสอบครั้งแรกพบช่องโหว่ จำนวน 1 รายการ โดยแบ่งตามระดับความเสี่ยงได้ดังนี้ ความเสี่ยงสูง
จำนวน 1 ประเภทของโหว่ จำนวน 8 รายการ และได้รับการแก้ไขทั้งหมด โดยแสดงตามกราฟที่แสดงด้านล่าง
รายการผลช่องโหว่การพบช่องโหว่ (ครั้งแรก)
จำนวน 1 ประเภทช่องโหว่ จำนวน 8 รายการ
รายการผลช่องโหว่การพบช่องโหว่ (ทดสอบซ้ำ) ไม่พบช่องโหว่คงเหลือ
10
10
5
0 0 0
0 0 0 0 0
ผลการทดสอบช้า
ะ
ผลการทดสอบครั้งแรก
สูงมาก สูง ปานกลาง
ตา ข้อเสนอแนะ
รูปที่ 1 กราฟแสดงจำนวนของระดับความเสี่ยงที่วิเคราะห์ตามรายการช่องโหว่ที่ตรวจพบ
Page 1 of 29

--- PAGE 17 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
บทที่ 2 ขอบเขตการดำเนินงาน
2.1 ระยะเวลาการทดสอบ
ตารางที่ : : 2 แสดงระยะเวลาการทดสอบที่ได้ดำเนินการ
ID
กิจกรรม
วันที่ดำเนินการ
หมายเหตุ
1
Vulnerability assessment
24 ตุลาคม 2568 - 7 พฤศจิกายน 2568
Initial Testing
2
Remediation by Developer
7 พฤศจิกายน 2568
3
Vulnerability assessment
10 พฤศจิกายน 2568
Re-visit Testing
4
Deliver Re-visit Report
10 พฤศจิกายน 2568
2.2 เครื่องมือที่ใช้ในการทดสอบ
2
เพื่อเพิ่มประสิทธิภาพและความครอบคลุมในการวิเคราะห์ช่องโหว่ ทีมทดสอบได้ใช้วิธีการแบบ
ผสมผสานโดยใช้ทั้งเครื่องมือแบบอัตโนมัติและใช้คนเป็นผู้ทดสอบร่วมกัน เครื่องมือที่ใช้ในกระบวนการนี้มีดังนี้
ชื่อเครื่องมือ
ท
1.
NMAP (Network
Mapper)
ตารางที่ : 3 แสดงเครื่องมือที่ใช้ทดสอบตามรายการ
คำอธิบาย
เป็นเครื่องมือสําหรับสแกนและวิเคราะห์เครือขายที่ใชใน
การตรวจสอบและค้นหาเครื่องแม่ข่าย (hosts) และบริการ
(services) ที่ทํางานอยู่บนเครือข่าย มันมีความสามารถใน
การสแกนพอร์ต (port scanning) เพื่อตรวจสอบว่าพอร์ต
ใดๆ บนเครื่องเป้าหมายถูกเปิดอยู่หรือไม่ รวมถึงการระบุ
ระบบปฏิบัติการที่ทำงานอยู่บนเครื่องเหล่านั้นด้วย
นอกจากนี้ NMAP ยังมีฟังก์ชันการสแกนแบบมาตรฐานและ
แบบลึกเพื่อตรวจสอบช่องโหว่และความปลอดภัยของระบบ
Tool type
Automatic
เป็นเครื่องมือที่ถูกนำมาใช้ในการทดสอบความเสถียรและ
ความปลอดภัยของเครือข่ายในการทดสอบเจาะระบบและ
การประเมินความเสี่ยงของระบบคอมพิวเตอร์
Page 2 of 29

--- PAGE 18 ---
ชื่อเครื่องมือ
2. sstscan/testsst.sh
3. Nessus
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คำอธิบาย
Tool type
Automatic
เป็นเครื่องมือสำหรับการทดสอบความปลอดภัยของ
เซิร์ฟเวอร์ที่ใช้โปรโตคอล SSL/TLS ซึ่งมักถูกใช้เพื่อ
ตรวจสอบการกําหนดค่าและการใช้งานของ SSL/TLS บน
เซิร์ฟเวอร์หรือเว็บไซต์ เครื่องมือเหล่านี้ช่วยในการค้นหา
ปัญหาที่อาจเกิดขึ้นเกี่ยวกับความปลอดภัย เช่น ช่องโหว่ใน
การกำาหนดค่า SSL/TLS, การใช้งานของสัญญาณดิจิทัล
(certificates) และการตรวจสอบความปลอดภัยของ
เว็บไซต์ที่ใช้ SSL/TLS รวมถึงปัญหาที่เกี่ยวข้องกับการ
เชื่อถือของผู้ออก Certificate Authority (CA) ด้วย
เป็นเครื่องมือการตรวจสอบความปลอดภัยแบบอัตโนมัติ
) ซึ่งมีความสามารถในการ
(Automated Security Scan) ซึ่งมีคว
สแกนและตรวจสอบหาช่องโหว่ที่อาจมีความเสี่ยงต่อระบบ
เป็นเครื่องมือการตรวจสอบความปลอดภัยแบบอัตโนมัติ
Automatic
คอมพิวเตอร์และเครือข่าย
4 Trivy
Automatic
(Automated Security Scan) ซึ่งมี
ซึ่งมีความสามารถในการ
สแกนและตรวจสอบหาช่องโหว่ที่อาจมีความเสี่ยงต่อระบบ
คอมพิวเตอร์และเครือข่ายในรูปแบบของ Image
Page 3 of 29
3

--- PAGE 19 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
2.3 ทีมทดสอบ
ตารางที่ : 4 การทดสอบได้ดำเนินการโดยทีมทดสอบตามรายชื่อในตารางด้านล่าง
Certification
ประสบการณ์การทำงาน
OCSP, CEH, CompTIA | ดำเนินการประเมินช่องโหว่และทดสอบเจาะ
ท
รายชือผูทดสอบ
1
Warunyou
Sunpachit
Security+, CompTIA
Pentest+, CC
ระบบในระดับ Mobile Application, Web
2
Pongsathon
Sirithanyakul
OCSP, CEH, CompTIA
Security+, CompTIA
Pentest+, CC
2.4 ข้อจำกัด
Application, Network, Thick-client
Application ในธุรกิจการเงินการธนาคาร
โทรคมนาคม ประภัยภัย และอื่นๆ โดยมี
ประสบการณ์ด้านการประเมินช่องโหว่และ
ทดสอบเจาะระบบมากกว่า 15 ปี
| ดำเนินการประเมินช่องโหว่และทดสอบเจาะ
ระบบในระดับ Mobile Application, Web
Application, Network, Thick-client
Application ในธุรกิจการเงินการธนาคาร
โทรคมนาคม ประภัยภัย และอื่นๆ โดยมี
ประสบการณ์ด้านการประเมินช่องโหว่และ
ทดสอบเจาะระบบมากกว่า 7 ปี
การทดสอบนี้เป็นการทดสอบจุดในเวลาที่กำหนดเท่านั้น (point-in-time test) และการประเมินความ
ปลอดภัยถูกจำกัดอยู่ในช่วงเวลาที่ตกลงกันไว้ เวลาที่เพิ่มเติมและการทดสอบเพิ่มเติมอาจจะเปิดเผยสิ่งที่
สังเกตเห็นได้อีก ขอแนะนําให้นําเนินการทดสอบช่องโหว่เพิ่มเติมรอบต่อไป รวมถึงการทดสอบการเจาะระบบ
บนระบบเป็นระยะหรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ เช่น การเปลี่ยนเวอร์ชันซอฟต์แวร์ใหม่หรือการติดตั้ง
อุปกรณ์ใหม่ การเปลี่ยนแปลงที่สำคัญเช่นนี้อาจเป็นเหตุให้เกิดช่องโหว่ใหม่ ๆ ได้
Page 4 of 29
4

--- PAGE 20 ---
3.1 วิธีการที่ใช้ในการทดสอบ
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
บทที่ 3 แนวทางการทดสอบ
5
วัตถุประสงค์ของการประเมินนี้คือการตรวจพบช่องโหว่หรือจุดอ่อนที่ต้องการปรับปรุง และให้
ข้อเสนอแนะในการแก้ไขปัญหาที่พบและรายละเอียดของความต้องการในเชิงปฏิบัติการ การประเมิน
ครอบคลุมถึงสามประเภทของการทดสอบช่องโหว่และการทดสอบเจาะระบบตามตารางด้านล่าง
ตารางที่ : 5 ประเภทของการทดสอบหาช่องโหว่และการทดสอบเจาะระบบ
การทดสอบแบบกล่องดำ
(Black box)
1) ไม่จำเป็นต้องให้ข้อมูลเกี่ยวกับ 1) กำหนดระบบเป้าหมาย
เป้าหมายของระบบ
การทดสอบแบบกลองเทา
การทดสอบแบบกล่องขาว
(Credential)
(White box)
1) ให้ source-codes ของระบบ
2) ให้บัญชีผู้ใช้ในแต่กลุ่ม
นั้น ๆ
ละฟังก์ชันการใช้งาน
2) จำเป็นต้องยืนยันเป้าหมายก่อน 3) ให้คำอธิบายรายละเอียดการ 2) ให้คำอธิบายรายละเอียดของแต่
ทดสอบเจาะระบบ เพื่อป้องกัน
การทดสอบนอกขอบเขต
3) ไม่ให้บัญชีผู้ใช้สําหรับทดสอบ
เจาะระบบ
ใช้งานระบบแต่ละเมนู
ทางทีมงานได้พัฒนากระบวนการ การทดสอบหาช่องโหว และ การทดสอบเจาะระบบ จากกรอบการ
ทดสอบต่าง ๆ (Framework) เพื่อนำมาประยุกต์ใช้ให้เหมาะสมกับสภาพแวดล้อมการทดสอบเจาะระบบนั้น ๆ
เช่น กระบวนการทดสอบความปลอดภัยทั้งด้านความตระหนักการใช้งานสารสนเทศ (Human) ทางด้าน
กายภาพ (Physical) การทดสอบโครงข่ายไร้สาย (Wireless) จาก Open Source Security Testing
Methodology Manual (OSSTMM) v3 การทดสอบเจาะระบบของระบบสารสนเทศบนเครื่องโทรศัพท์มือถือ
Mobile Application Security Verification Standard (MASVS) OWASP Mobile Security Testing
Guide (MSTG) การทดสอบเจาะระบบเว็บแอปพลิเคชัน OWASP Testing Guide (OTG) v4 เป็นต้น
Page 5 of 29

--- PAGE 21 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
6
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
3.2 ข้อมูลอ้างอิงที่ใช้ประเมินความเสี่ยง
3.2.1 OWASP Top 10 Application Security Risks - 2021
เป็นรายงานที่กำหนดและระบุปัญหาที่เกี่ยวข้องกับความปลอดภัยในการพัฒนาและดำเนินการแอป
พลิเคชันที่พบบ่อยในการใช้งานจริง รายงานนี้ถูกเผยแพร่โดย OWASP (Open Web Application Security
Project) ซึ่งมุ่งเน้นการเสริมสร้างความปลอดภัยในเว็บแอปพลิเคชันและซอฟต์แวร์ การระบุปัญหาความ
ปลอดภัยที่สำคัญที่ถูกนำเสนอในรายงานนี้ช่วยให้นักพัฒนาและผู้ดูแลระบบสามารถระบุและแก้ไขปัญหาด้าน
ความปลอดภัยในขั้นตอนการพัฒนาและดำเนินการแอปพลิเคชันได้อย่างมีประสิทธิภาพ
ตารางที่ : 6 รายงานของ OWASP Top 10 Application Security Risks – 2021
(https://owasp.org/Top10/)
คำอธิบาย
OWASP Top 10
Application 2021
A1: Broken Access
Control
A2: Cryptographic
ความเสี่ยงที่เกี่ยวข้องกับปัญหาในการควบคุมการเข้าถึงข้อมูลหรือฟังก์ชัน
ในระบบโดยไม่ถูกต้องหรือไม่เพียงพอ ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึง
ข้อมูลหรือทำรายการที่ไม่ได้รับอนุญาต รายละเอียดการทำงานอาจรวมถึง
1. การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต: ผู้ไม่ประสงค์ดีอาจสามารถเข้าถึงข้อมูล
ที่มีความลับหรือที่สำคัญโดยไม่ได้รับอนุญาต โดยเรียกใช้ข้อมูลที่ไม่ถูกคัด
กรองหรือไม่มีการตรวจสอบการสิทธิ์การเข้าถึง
2. การเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต: ผู้ไม่ประสงค์ดีอาจทำการ
เปลี่ยนแปลงข้อมูลที่สำคัญหรือมีความสำคัญโดยไม่ได้รับอนุญาต ซึ่งอาจ
สงผลให้เกิดความเสียหายหรือความผิดพลาดในระบบ
3. การทำรายการที่ไม่ได้รับอนุญาต: ผู้ไม่ประสงค์ดีอาจดำเนินการรายการที่
ส่งผลกระทบที่ไม่พึงประสงค์ต่อระบบหรือข้อมูล โดยใช้ฟังก์ชันหรือ
ความสามารถที่ไม่ได้รับอนุญาต
การแก้ไขปัญหาที่เกี่ยวข้องกับรายงาน A1 สามารถทำได้โดยการใช้ระบบ
การควบคุมการเข้าถึงที่เข้มงวดและครอบคลุม รวมถึงการทดสอบและตรวจสอบ
ความปลอดภัยของระบบอย่างสม่ำเสมอ
ความเสี่ยงที่เกี่ยวข้องกับปัญหาในการใช้เทคนิคการเข้ารหัสที่ไม่ถูกต้อง
Page 6 of 29

--- PAGE 22 ---
5☑
OWASP Top 10
Application 2021
Failures
A3: Injection
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คำอธิบาย
7
หรือไม่เพียงพอ ซึ่งอาจทำให้ข้อมูลที่เกี่ยวข้องกับความลับหรือความปลอดภัยถูก
เปิดเผยหรือถูกแยกจากกันได้
รายละเอียดการทำงานอาจรวมถึง
1. การใช้วิธีการเข้ารหัสที่ไม่เพียงพอ: การใช้วิธีการเข้ารหัสที่ไม่เหมาะสมหรือ
มีความเสี่ยงสูง เช่น การใช้วิธีการเข้ารหัสที่ถูกทำลายหรือเป็นที่รู้จักใน
วงการวาไมปลอดภัย
2. ความยากจนของกุญแจ: การสร้างและการจัดการกับกุญแจการเข้ารหัสที่ไม่
ปลอดภัย ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถทำการระบาดไวรัสหรือเข้าถึง
ข้อมูลที่สำคัญได้
3. การจัดการกับการรักษาความลับ: การเก็บรักษาและการจัดการกับข้อมูลที่
เข้ารหัสอาจมีข้อบกพร่องหรือการจัดการที่ไม่เหมาะสมทำให้ข้อมูลถูก
เปิดเผยหรือถูกแยกจากกัน
4. การบูรณะระบบเข้ารหัส: การประยุกต์ใช้ระบบการเข้ารหัสที่มีข้อบกพร่อง
หรือมีการเลือกใช้แบบไม่ถูกต้อง ซึ่งอาจทำให้ข้อมูลเสี่ยงต่อการโจมตี
การแก้ไขปัญหาที่เกี่ยวข้องกับรายงาน A2 สามารถทำได้โดยการใช้
เทคโนโลยีการเข้ารหัสที่มีความปลอดภัยและเหมาะสม รวมถึงการปรับปรุง
กระบวนการสร้างและจัดการกับคีย์เวิร์ดการเข้ารหัสอย่างระมัดระวังและมี
ประสิทธิภาพ
ความเสี่ยงที่เกี่ยวข้องกับการสั่งการไม่ประสงค์ดีที่ฝังเข้าไปในข้อมูลหรือ
คําสั่งที่รับเข้ามาในระบบโดยไม่ได้รับการตรวจสอบหรือกรองอย่างเหมาะสม ซึ่งอาจ
ทำให้เกิดการโจมตีแบบ Injection เช่น SQL Injection, Command Injection,
LDAP Injection, o XML Injection
รายละเอียดการทำงานของรายงาน A3 สามารถรวมถึง:
1. SQL Injection: การฝังโค้ด SQL ที่ไม่ประสงค์ดีในข้อมูลที่ถูกส่งเข้ามาใน
แอปพลิเคชันเพื่อเข้าถึงหรือปรับเปลี่ยนข้อมูลในฐานข้อมูล
Page 7 of 29

--- PAGE 23 ---
5☑
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
8
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
OWASP Top 10
Application 2021
A4: Insecure
Design
2. Command Injection: การฝังโค้ดคำสั่งระบบที่ไม่ประสงค์ดีในข้อมูลที่ถูก
ส่งเข้ามาในแอปพลิเคชันเพื่อรันคำสั่งในระบบหรือเข้าถึงข้อมูลที่ไม่ได้รับ
อนุญาต
3. LDAP Injection: การฝังโค้ด LDAP ที่ไม่ประสงค์ดีในข้อมูลที่ถูกส่งเข้ามา
ในแอปพลิเคชันเพื่อโจมตีบริการไดเรกทอรีและเข้าถึงข้อมูลที่สำคัญ
4. XML Injection: การฝังโค้ด XML ที่ไม่ประสงค์ดีในข้อมูล XML ที่ถูกส่งเข้า
มาในแอปพลิเคชันเพื่อโจมตีระบบหรือเปิดเผยข้อมูลที่ละเมิดความเป็น
ส่วนตัว
การป้องกันการโจมตีแบบ Injection สามารถทำได้โดยการใช้พื้นที่จำกัด
สิทธิ์และกรองข้อมูลอย่างเหมาะสมก่อนที่จะส่งเข้าสู่ระบบ รวมถึงการใช้พื้นที่จำกัด
สิทธิ์ในการเข้าถึงฐานข้อมูล และการใช้พื้นที่จำกัดสิทธิ์ในการรับคำสั่งระบบหรือ
เรียกใช้บริการจากภายนอก
ความเสี่ยงที่เกี่ยวข้องกับการออกแบบและสร้างแอปพลิเคชันโดยไม่คำนึงถึง
มาตรฐานความปลอดภัยและหลักการออกแบบที่ปลอดภัยอย่างเพียงพอ ซึ่งอาจทํา
ให้เกิดช่องโหว่และความไม่ปลอดภัยต่าง ๆ ในแอปพลิเคชัน
ๆ
รายละเอียดการทำงานของรายงาน A4 สามารถรวมถึง:
1. การขาดความสามารถในการจำกัดสิทธิ์: การขาดความสามารถในการจํากัด
สิทธิ์และควบคุมการเข้าถึงข้อมูลหรือฟังก์ชันของแอปพลิเคชัน ซึ่งอาจทำให้
ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลที่ไม่เหมาะสมหรือทำการกระทำที่ไม่
เหมาะสม
2. การไม่คำนึงถึงการป้องกันที่มีชั้นของข้อมูล: การออกแบบแอปพลิเคชันโดย
ไม่คำนึงถึงการป้องกันที่มีชั้นของข้อมูล ซึ่งอาจทำให้ข้อมูลที่สำคัญถูก
เปิดเผยหรือถูกใช้โดยผู้ไม่ประสงค์ดี
3. การขาดความสามารถในการตรวจสอบและการติดตาม: การขาด
ความสามารถในการตรวจสอบและติดตามกิจกรรมที่เกิดขึ้นในระบบ เช่น
Page 8 of 29

--- PAGE 24 ---
5☑
OWASP Top 10
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
Application 2021
A5: Security
Misconfiguration
A6: Vulnerable
and Outdated
การไม่มีการบันทึกล็อกหรือไม่มีการแจ้งเตือนเมื่อมีกิจกรรมที่เป็นไปไม่ได้
การแก้ไขปัญหาที่เกี่ยวข้องกับรายงาน A4 สามารถทำได้โดยการออกแบบ
และพัฒนาแอปพลิเคชันโดยให้คำนึงถึงความปลอดภัยตั้งแต่ต้น รวมถึงการใช้
หลักการและเทคโนโลยีที่ปลอดภัย เพื่อลดความเสี่ยงของช่องโหว่และความไม่
ปลอดภัยในแอปพลิเคชัน
ความเสี่ยงที่เกี่ยวข้องกับการกำาหนดค่าและการตั้งค่าระบบหรือแอปพลิเค
ซันโดยไม่ถูกต้องหรือไม่เพียงพอทำให้เกิดช่องโหว่ที่เปิดเผยข้อมูลหรือทำให้เกิด
ความไม่ปลอดภัย
รายละเอียดการทำงานของรายงาน A5 สามารถรวมถึง:
1. ค่าเริ่มต้นที่ไม่ปลอดภัย: การใช้ค่าเริ่มต้นที่ไม่ปลอดภัยหรือค่าที่มีความเสี่ยง
เช่น รหัสผ่านเริ่มต้นที่ถูกตั้งไว้, การเปิดใช้งานฟีเจอร์ที่ไม่จำเป็น
2. การกำหนดค่าสิทธิ์ไม่ถูกต้อง: การกำหนดค่าสิทธิ์หรือสิทธิ์ที่ไม่เพียงพอ ทำ
ให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลหรือฟังก์ชันที่ไม่ได้รับอนุญาตได้
3. การทิ้งรายละเอียดการทำงานที่ไม่จำเป็น: การทิ้งรายละเอียดการทำงาน
หรือข้อมูลที่ไม่จำเป็นทำให้ผู้ไม่ประสงค์ดีสามารถใช้ข้อมูลนั้นในการโจมตี
ได้
4. ขาดการอัปเดตและการจัดการเวอร์ชั่น: การขาดการอัปเดตซอฟต์แวร์หรือ
การจัดการเวอร์ชั่นที่สามารถทําให้เกิดช่องโหว่ที่มีชั้นความปลอดภัยต่ำาหรือ
ทำให้เกิดความไม่ปลอดภัยในระบบ
การแก้ไขปัญหาที่เกี่ยวข้องกับรายงาน A5 สามารถทำได้โดยการตั้งค่า
ระบบและแอปพลิเคชันให้เป็นไปตามหลักการและมาตรฐานความปลอดภัย รวมถึง
การทดสอบความปลอดภัยและการตรวจสอบการตั้งค่าเพื่อให้แน่ใจว่าไม่มีความ
เสี่ยงหรือช่องโหวใดๆ ที่เปิดเผยข้อมูลหรือทำให้เกิดความไม่ปลอดภัยในระบบ
ความเสี่ยงที่เกี่ยวข้องกับการใช้งานส่วนประกอบของระบบหรือแอปพลิเค
ชันที่มีของโหว่หรือเวอร์ชันเก่าที่มีความไม่ปลอดภัย ซึ่งอาจทําให้เกิดความเสี่ยงและ
Page 9 of 29
9

--- PAGE 25 ---
5☑
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
OWASP Top 10
Application 2021
Components
ช่องโหวต่าง ๆ ในระบบ
10
A7: Identification
and
Authentication
Failures
รายละเอียดการทำงานของรายงาน A6 สามารถรวมถึง:
ม
1. การใช้งานส่วนประกอบที่มีช่องโหว: การใช้งานและการนําเข้าสวนประกอบ
หรือไลบรารีที่มีช่องโหว่ในระบบ เช่น ไลบรารีที่มีช่องโหว่ของชนิด
ซอฟต์แวร์ต่าง ๆ หรือชุดเครื่องมือที่ไม่ปลอดภัย
2. การใช้งานส่วนประกอบเวอร์ชันเก่า: การใช้งานส่วนประกอบหรือไลบรารีที่
เป็นเวอร์ชันเก่าและมีช่องโหว่ที่ได้รับการแก้ไขในเวอร์ชันล่าสุด
3. การขาดการอัปเดตและการจัดการเวอร์ชั่น: การขาดการอัปเดตและการ
จัดการเวอร์ชั่นที่สามารถทำให้เกิดความไม่ปลอดภัยในระบบ และช่องโหว่ที่
มีชั้นความปลอดภัยต่ำ
การแก้ไขปัญหาที่เกี่ยวข้องกับรายงาน A6 สามารถทำได้โดยการทำการ
สแกนและตรวจสอบส่วนประกอบของระบบหรือแอปพลิเคชันเพื่อตรวจจับ
ส่วนประกอบที่มีช่องโหว่หรือเวอร์ชันเก่า และทําการอัปเดตหรือแก้ไขส่วนประกอบ
เหล่านั้นเพื่อให้มีความปลอดภัยที่สูงขึ้น
เป็นหัวหัวรายงานที่ให้ความสำคัญกับปัญหาเกี่ยวกับการระบุตัวตนและการ
รับรองตัวตน ซึ่งเป็นส่วนสำคัญของความปลอดภัยของระบบ เมื่อมีความผิดพลาด
เกิดขึ้นในการระบุหรือการรับรองตัวตน ผู้ไม่ประสงค์ดีอาจมีโอกาสเข้าถึงข้อมูลหรือ
ฟังก์ชันที่ไม่เหมาะสม หรือกระทำการในฐานะผู้ใช้ที่ถูกสมมติให้มีสิทธิ์สูง โดยไม่ได้
รับการตรวจสอบอย่างเหมาะสม
รายละเอียดที่เกี่ยวข้องอาจรวมถึง:
1. Weak Password Policies: นโยบายที่ไม่เข้มงวดเกี่ยวกับการตั้งรหัสผ่านที่
มีความปลอดภัย ทำให้ผู้ไม่ประสงค์ดีสามารถทำการทดลองเดารหัสผ่าน
หรือใช้วิธีการต่าง ๆ เพื่อบล็อกเข้าสู่ระบบ
2. Brute Force Attacks: การโจมตีโดยการทดลองเดารหัสผ่านจนกว่าจะพบ
รหัสที่ถูกต้อง ซึ่งอาจเป็นไปได้เมื่อระบบไม่มีการจำกัดจำนวนครั้งที่ลองเดา
Page 10 of 29

--- PAGE 26 ---
5☑
OWASP Top 10
Application 2021
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
11
A8: Software and
Data Integrity
Failures
รหัสเขาสูระบบ
3. Weak Multifactor Authentication (MFA): การใช้วิธีการยืนยันตัวตนที่มี
ความปลอดภัยไม่เพียงพอ เช่น การใช้ SMS ในการยืนยันตัวตนซึ่งเป็น
ระบบที่มีของโหว
4. Session Management: ปัญหาที่เกี่ยวข้องกับการจัดการเซสชัน ซึ่งอาจทำ
ให้ผู้ไม่ประสงค์ดีสามารถทำให้เซสชันหรือการตั้งค่าของผู้ใช้หมดอายุ หรือ
แยกจากการยืนยันตัวตน
5. Insufficient Account Lockout: การไม่มีการล็อคบัญชีหลังจากจำนวน
ครั้งที่พยายามเข้าสู่ระบบผิดพลาดเกินกำหนด อาจทำให้ผู้ไม่ประสงค์ดี
สามารถ าเนินการโจมตีด้วยวิธีการทดลองเดารหัสผ่านได้โดยไม่มีข้อจํากัด
การแก้ไขปัญหาในหัวข้อนี้จำเป็นต้องมีการสร้างนโยบายความปลอดภัยที่
เข้มงวดเกี่ยวกับการระบุตัวตนและการรับรองตัวตน รวมถึงการใช้เทคโนโลยีที่มี
ความปลอดภัยมากขึ้น เช่น การใช้ MFA หรือการใช้วิธีการรับรองตัวตนที่มีความ
เข้มงวดมากขึ้น
ความเสี่ยงที่เกี่ยวข้องกับความผิดพลาดในซอฟต์แวร์และข้อมูลที่สามารถ
ทำให้ข้อมูลหรือซอฟต์แวร์ถูกเปลี่ยนแปลงหรือทำลายโดยไม่ได้รับอนุญาต
รายละเอียดการทํางานที่เกี่ยวข้องอาจรวมถึง
ม
1. ข้อบกพร่องในซอฟต์แวร์: การพัฒนาซอฟต์แวร์ที่มีข้อบกพร่องอาจทําให้มี
ช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบหรือข้อมูลโดยไม่ได้รับ
อนุญาต
2. การสูญเสียข้อมูล: สูญเสียข้อมูลสำคัญหรือสำรองข้อมูลที่สำคัญอาจเกิดขึ้น
เนื่องจากการขัดข้องในระบบหรือซอฟต์แวร์
3. การเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต: การโจมตีที่เปลี่ยนแปลงข้อมูลที่
สำคัญโดยไม่ได้รับอนุญาต เช่น การเขียนข้อมูลลงในฐานข้อมูลหรือไฟล์ที่
สําคัญ
Page 11 of 29

--- PAGE 27 ---
5☑
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
12
OWASP Top 10
Application 2021
A9: Security
Logging and
Monitoring
Failures
4. การบิดเบือนข้อมูล: การเปลี่ยนแปลงค่าข้อมูลที่ส่งผลกระทบต่อการ
ประมวลผลหรือการตัดสินใจโดยไม่ได้รับอนุญาต
5. การสร้างซอฟต์แวร์ที่มีความไม่มั่นคง: การพัฒนาซอฟต์แวร์ที่มีข้อบกพร่อง
หรือช่องโหว่อาจสร้างความไม่มั่นคงในการทำงานของระบบและข้อมูล
การจัดการความปลอดภัยของซอฟต์แวร์และข้อมูล รวมถึงการใช้เทคโนโลยี
และมาตรการที่เหมาะสม เป็นสิ่งสำคัญในการป้องกันการสูญเสียข้อมูลและความไม่
เสถียรของระบบในสถานการณ์ที่ไม่คาดคิด
ความเสี่ยงที่เกี่ยวข้องกับปัญหาในการบันทึกและตรวจสอบความปลอดภัย
ของระบบ ซึ่งอาจทำให้ระบบไม่สามารถตรวจจับหรือระบุกิจกรรมที่ไม่เหมาะสม
หรือเกิดความผิดปกติในระบบได้อย่างทันท่วงที
รายละเอียดการทํางานที่เกี่ยวข้องอาจรวมถึง:
1. ขาดความสามารถในการบันทึกเหตุการณ์: ระบบที่ไม่สามารถบันทึก
เหตุการณ์หรือกิจกรรมที่เกิดขึ้นในระบบได้อย่างครอบคลุม ทำให้ไม่
สามารถตรวจสอบหรือวิเคราะห์กิจกรรมที่เป็นอันตรายได้อย่างมี
ประสิทธิภาพ
2. ข้อบกพร่องในการตรวจจับการลักษณะเฉพาะของการโจมตี: ระบบที่ไม่
สามารถตรวจจับและรายงานเหตุการณ์ที่อาจเป็นการโจมตีหรือกิจกรรมที่
เกี่ยวข้องกับความมั่นคงของระบบ
3. ข้อบกพร่องในการแจ้งเตือนเหตุการณ์: ระบบที่ไม่สามารถแจ้งเตือนผู้ดูแล
ระบบหรือผู้ใช้ที่เกี่ยวข้องเมื่อเกิดเหตุการณ์ที่สำคัญหรือเป็นอันตราย
4. ข้อบกพร่องในการควบคุมการเข้าถึงเข้าชม: การขาดความสามารถในการ
ควบคุมการเข้าถึงและการเข้าชมไฟล์บันทึกเหตุการณ์ ซึ่งอาจทำให้ผู้ไม่
ประสงค์ดีสามารถเข้าถึงและแก้ไขข้อมูลบันทึกเหตุการณ์ได้
ม
5. ข้อบกพร่องในการจัดเก็บข้อมูลเหตุการณ์: การบันทึกข้อมูลเหตุการณ์ที่ไม่
เพียงพอหรือไม่ครอบคลุม ซึ่งอาจทำให้ไม่สามารถนำข้อมูลเหตุการณ์มา
Page 12 of 29

--- PAGE 28 ---
5☑
OWASP Top 10
Application 2021
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คําอธิบาย
A10: Server-Side
Request Forgery
13
วิเคราะห์หรือใช้ในการตรวจสอบความมั่นคงของระบบได้อย่างมี
ประสิทธิภาพ
การแก้ไขปัญหาด้านความสามารถในการบันทึกและตรวจสอบความ
ปลอดภัยของระบบ รวมถึงการใช้เทคโนโลยีและการสร้างนโยบายที่เหมาะสม เป็น
สิ่งสําคัญในการป้องกันการโจมตีและรักษาความมั่นคงของระบบไว้อย่างต่อเนื่อง
ความเสี่ยงที่เกี่ยวข้องกับการโจมตีที่ผู้ไม่ประสงค์ดีสร้างคำขอ (request) ที่
ส่งถึงเซิร์ฟเวอร์แล้วเกิดการประมวลผลค่าบอนั้นในฝั่งเซิร์ฟเวอร์ ซึ่งอาจทําให้เกิดผล
กระทบอันไม่พึงประสงค์ รวมถึงการเข้าถึงข้อมูลภายในระบบหรือระบบที่อยู่ใน
เครือข่ายภายใน หรือการโจมตีอื่น ๆ ที่เกี่ยวข้องกับการร้องขอจากฝั่งเซิร์ฟเวอร์
รายละเอียดการทำงานของ A10 อาจรวมถึงการโจมตีด้วยเทคนิคเช่นการ
ส่งคำขอ HTTP ที่มี URL ที่ชี้ไปยังทรัพยากรในเครือข่ายภายใน หรือการใช้
โปรโตคอลที่เรียกหรือส่งคำขอเพื่อทำงานภายในเครื่องเซิร์ฟเวอร์ที่ไม่ควรเข้าถึงได้
ผานภายนอก
การป้องกัน A10 สามารถทำได้โดยการตรวจสอบและกรองคำขอที่ส่งถึง
เซิร์ฟเวอร์ และการใช้การกำาหนดขีดจํากัดในการเข้าถึงทรัพยากรระดับระบบที่
สูงขึ้น รวมทั้งการใช้การตรวจสอบและสร้างบันทึกเหตุการณ์เพื่อตรวจจับการโจมตี
ด้วยวิธีนี้ได้อย่างมีประสิทธิภาพ
Page 13 of 29

--- PAGE 29 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
14
3.2.2 CWE Top 25
ตารางที่ : 7 ความหมายของหัวข้อที่เกี่ยวข้องกับ Common Weakness enumuration
ม
หัวข้อ CWE Top 25
CWE-79: Cross-site Scripting (XSS)
CWE-787: Out-of-bounds Write
คําอธิบาย
ช่องโหว่ที่เกิดจากการไม่ตรวจสอบข้อมูลที่รับเข้ามาก่อนนำไป
แสดงผลบนหน้าเว็บ ทำให้ผู้โจมตีสามารถแทรก script ที่เป็น
อันตรายได้
การเขียนข้อมูลเกินขอบเขตของ buffer ที่จัดสรรไว้ อาจทำ
ให้เกิดการทํางานผิดพลาดหรือถูกใช้ในการโจมตีระบบ
ช่องโหว่ที่เกิดจากการไม่ตรวจสอบข้อมูลที่รับเข้ามาก่อน
CWE-89: SQL Injection
นำไปใช้ใน SQL Command ทำให้ผู้โจมตีสามารถแก้ไขคำสั่ง
SQL ได้
ไม่รู้ตัว
CWE-352: Cross-Site Request Forgery การโจมตีที่หลอกให้ผู้ใช้ที่ login อยู่ทำคำสั่งที่ไม่ได้ตั้งใจโดย
(CSRF)
CWE-22: Path Traversal
CWE-125: Out-of-bounds Read
CWE-78: OS Command Injection
CWE-416: Use After Free
CWE-862: Missing Authorization
ช่องโหว่ที่อนุญาตให้ผู้โจมตีเข้าถึงไฟล์หรือไดเรกทอรี
นอกเหนือจากที่กําหนดไว้
การอานขอมูลเกินขอบเขตของ buffer ที่จัดสรรไว้ อาจทําให้
เกิดการรั่วไหลของข้อมูลหรือระบบลม
ช่องโหว่ที่ทําให้ผู้โจมตีสามารถแทรกคำสั่งของ
9 เ
ระบบปฏิบัติการได้ผ่านทางแอปพลิเคชัน
การใช้งาน memory ที่ถูก free ไปแล้ว อาจทำให้เกิด
พฤติกรรมที่ไม่คาดคิดหรือถูกใช้ในการโจมตี
การขาดการตรวจสอบสิทธิ์ในการเข้าถึงทรัพยากรหรือ
ฟังก์ชัน
CWE-434: Unrestricted Upload of File การอนุญาตให้อัปโหลดไฟล์ที่เป็นอันตรายโดยไม่มีการ
with Dangerous Type
ตรวจสอบประเภทไฟล์
ซองโหว่ที่ทําใหผู้โจมตีสามารถแทรกและร้นโค้ดที่เป็น
CWE-94: Code Injection
อันตรายได้
CWE-20: Improper Input Validation
การไม่ตรวจสอบความถูกต้องของข้อมูลที่รับเขามา
การแทรกคำสั่งที่เป็นอันตรายผ่านทาง input ของแอปพลิเค
CWE-77: Command Injection
ชน
CWE-287: Improper Authentication
การตรวจสอบตัวตนที่ไม่เหมาะสมหรือไม่เพียงพอ
Page 14 of 29

--- PAGE 30 ---
容
หัวขอ CWE Top 25
CWE-269: Improper Privilege
Management
CWE-502: Deserialization of
Untrusted Data
CWE-200: Exposure of Sensitive
Information
CWE-863: Incorrect Authorization
CWE-918: Server-Side Request
Forgery (SSRF)
CWE-119: Improper Restriction of
Operations within Memory Buffer
CWE-476: NULL Pointer Dereference
CWE-798: Use of Hard-coded
Credentials
CWE-190: Integer Overflow or
Wraparound
CWE-400: Uncontrolled Resource
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
คำอธิบาย
การจัดการสิทธิ์ที่ไม่เหมาะสม อาจทำให้ผู้ใช้มีสิทธิ์มากเกินไป
การแปลงข้อมูลที่ไมนาเชื่อถือกลับเป็น object อาจนำไปสู
การรันโค้ดที่เป็นอันตราย
การเปิดเผยข้อมูลที่ละเอียดอ่อนให้กับผู้ที่ไม่มีสิทธิ์
การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง
15
ช่องโหว่ที่ทำให้ผู้โจมตีสามารถบังคับให้ server ส่งคำขอไปยัง
ปลายทางที่ไม่ได้ตั้งใจ
ที่ไม่เหมาะสม
การจำกัดการทำงานภายใน memory buffer ที่ไม่เหม
การเข้าถึง pointer ที่มีค่าเป็น NULL ทำให้เกิด Crash หรือ
พฤติกรรมที่ไม่คาดคิด
ม
การใช้ username และ password ที่ฝังตายอยู่ในโค้ด
การล้นของตัวเลขจำนวนเต็มที่อาจนำไปสู่พฤติกรรมที่ไม่
คาดคิด
การใช้ทรัพยากรที่ไม่มีการควบคุม อาจทำให้เกิด Denial of
Consumption
Service
CWE-306: Missing Authentication for
Critical Function
การขาดการตรวจสอบตัวตนสำหรับฟังก์ชันที่สำคัญ
3.2.3 CVSS Score
CVSS (Common Vulnerability Scoring System) คือระบบคะแนนมาตรฐานสำหรับประเมินความ
รุนแรงของของโหว่ โดยมีช่วงคะแนนดังนี้
None: 0.0
Low: 0.1 - 3.9
Medium: 4.0 - 6.9
High: 7.0 - 8.9
Critical: 9.0 - 10.0
Page 15 of 29

--- PAGE 31 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
16
หมายเหตุ: CWE เป็นการจัดหมวดหมู่ประเภทของช่องโหว่ ไม่ใช่ช่องโหว่เฉพาะเจาะจง ดังนั้นจึงไม่มีคะแนน
CVSS ที่ตายตัว แต่จะมีช่วงคะแนนที่พบบ่อยในแต่ละประเภท โดยคะแนน CVSS ที่แท้จริงจะถูกกำหนดให้กับ
CVE (ช่องโหว่เฉพาะ) แต่ละตัว
3.3 เมทริกซ์ของผลกระทบและความน่าจะเป็น (Impact and Likelihood Matrix)
มาตรฐาน OWASP Risk Rating Methodology standards (https://owasp.org/www-
community/OWASP_Risk_Rating_Methodology) ถูกใช้ในการพิจารณาและประเมินความน่าจะเป็นของ
เหตุการณ์ที่เป็นอันตรายต่อระบบความปลอดภัย รวมถึงผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์เหล่านั้น ที่เกิด
จากการโจมตีหรือการละเมิดความปลอดภัยของระบบข้อมูล การวิเคราะห์ความน่าจะเป็นและผลกระทบมี
เกณฑ์การให้คะแนนที่อธิบายโดยละเอียดดังต่อไปนี้
3.3.1 ปัจจัยที่ใช้ประเมินผลกระทบ (Impact Factors)
การวิเคราะห์ผลกระทบของข้อความจะถูกดำเนินการทั้งในด้าน "เชิงเทคนิค" และ "เชิงธุรกิจ" การให้
คะแนนผลกระทบมีดังนี้
ตารางที่ : 8 คะแนนของผลกระทบในด้าน "เชิงเทคนิค" และ "เชิงธุรกิจ"
เกณฑ์ผลกระทบ
1. ปัจจัยของผลกระทบเชิงเทคนิค (Technical Impact Factor)
การสูญเสียข้อมูลที่เป็นความลับ
(Loss of Confidentiality)
นิยามคะแนน
2. ข้อมูลที่ไม่สำคัญเล็กน้อยถูกเปิดเผย
6: ข้อมูลที่สำคัญเล็กน้อยหรือข้อมูลที่ไม่สำคัญมากถูกเปิดเผย
7: ข้อมูลที่สำคัญมากถูกเปิดเผย
9. ข้อมูลทั้งหมดถูกเปิดเผย
การสูญเสียความสมบูรณ์หรือความ 1: ข้อมูลเสียหายเพียงเล็กน้อย
นาเชื่อถือของขอมูล (Loss of
Integrity)
การสูญเสียความพรอมใช้งาน
(Loss of Availability)
3: ข้อมูลเสียหายอย่างรุนแรงเพียงเล็กน้อย
5: ข้อมูลเสียหายเพียงเล็กน้อยอย่างกว้างขวาง
7. ข้อมูลเสียหายอย่างรุนแรงอย่างกว้างขวาง
9. ข้อมูลทั้งหมดเสียหายทั้งหมด
1: Services ถูกหยุดชั่วคราวเพียงเล็กน้อย
5: Services ถูกหยุดชั่วคราวเพียงเล็กน้อย หรือ Services ถูกหยุด
ชั่วคราวอย่างกว้างขวาง
7: Services ถูกหยุดชั่วคราวอย่างกว้างขวาง
Page 16 of 29

--- PAGE 32 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
เกณฑผลกระทบ
นิยามคะแนน
9. ทุก Services สูญเสียไปอย่างสมบูรณ์
การสูญเสียความรับผิดชอบ
1: สามารถติดตามตัวได้ทั้งหมด
(Loss of Accountability)
7: อาจจะสามารถติดตามตัวได้
9. ไม่สามารถระบุตัวตนหรือติดตามตัวได้
2. ปัจจัยของผลกระทบเชิงธุรกิจ (Business Impact Factors)
ความเสียหายทางการเงิน
(Financial Damage)
1: มีน้อยกว่าค่าซ่อมแซมช่องโหว่
3: มีผลกระทบต่อกําไรประจําปีเล็กน้อย
7: มีผลกระทบต่อกำาไรประจำปีอยางมีนัยสำคัญ
9: ลมละลายการเงิน
ความเสียหายที่เกิดขึ้นกับชื่อเสียง 1: มีความเสียหายเล็กน้อย
หรือภาพลักษณ์
4: สูญเสียลูกค้ารายสำคัญ
(Reputation Damage)
5: สูญเสียความน่าเชื่อถือ
9. มีความเสียหายต่อชื่อเสียงหรือแบรนด์
การไม่ปฏิบัติตามกฎหมาย หรือ 2: การละเมิดเพียงเล็กน้อย
นโยบาย หรือมาตรฐานที่กำหนดไว้ 5: การละเมิดที่ชัดเจน
(Non-compliance)
7: การละเมิดระดับสูง
การละเมิดความเป็นส่วนตัวของ 3: หนึ่งบุคคล
บุคคลหรือข้อมูลส่วนบุคคล
5: หลักร้อยคน
(Privacy Violation)
7: หลักพันคน
9: หลักล้านคน
Page 17 of 29
17

--- PAGE 33 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
3.3.2 ปัจจัยที่ใช้ประเมินความน่าจะเป็น (Likelihood Factors)
เป็นมีดังนี้
18
ความน่าจะเป็นประกอบด้วย ปัจจัยของ "ตัวแทนผู้ลักลอบ" และ "ช่องโหว่" การจัดระดับความน่าจะ
ہے
ตารางที่ : 9 คะแนนปัจจัยของ "ตัวแทนผู้ลักลอบ" และ "ช่องโหว่" ที่ใช้ประเมินความน่าจะเป็น
เกณฑ์ความน่าจะเป็น
1. ปัจจัยของตัวแทนผู้ลักลอบ (Threat Agent Factors)
ระดับทักษะ (Skill Level)
เหตุผลหรือจุดมุงหมาย (Motive)
โอกาสหรือสถานการณ์ที่เอื้อต่อ
ตัวแทน
(Opportunity)
1: ไม่มีทักษะทางเทคนิค
3: บางทักษะทางเทคนิค
นิยามคะแนน
5. ผู้ใช้คอมพิวเตอร์ระดับขั้นสูง
6: ทักษะในด้านเครือข่ายและโปรแกรมมิ่ง
9. ทักษะการเจาะระบบความปลอดภัย
1: ต้องการรางวัลเล็กน้อยหรือไม่ต้องการ
4: ตองการรางวัลที่เป็นไปได้
9: ต้องการรางวัลขั้นสูง
0: ต้องการการเข้าถึงทั้งหมดหรือทรัพยากรที่มีค่าสูง
4. ต้องการการเข้าถึงพิเศษหรือทรัพยากรที่มีค่า
7. ต้องการการเข้าถึงบางส่วนหรือทรัพยากรบางประเภท
9: ไม่ต้องการการเข้าถึงหรือทรัพยากรใด
ขนาดของกลุ่มผู้ใช้หรือผู้เกี่ยวข้องที่ 2: นักพัฒนาหรือผู้ดูแลระบบ
เป็นเป้าหมายของการโจมตีหรือ
การทำลายระบบ
(Size)
4: ผู้ใช้ภายในอินทราเน็ต
5: พาร์ทเนอร่
6: ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์
9. ผู้ใช้อินเทอร์เน็ตที่ไม่ระบุชื่อ
2. ปัจจัยของช่องโหว่ (Vulnerability Factors)
ความง่ายในการค้นพบช่องโหว
1: เกือบจะเป็นไปไม่ได้หรือมีความยากมากที่จะทำได้ในสภาวะปกติ
(Ease of discovery)
3: ยาก
7: งาย
Page 18 of 29

--- PAGE 34 ---
เกณฑ์ความน่าจะเป็น
ความง่ายในการใช้ช่องโหวหรือ
ข้อบกพร่องเพื่อโจมตีระบบ (Ease
of exploit)
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
นิยามคะแนน
9: มีเครื่องมือแบบอัตโนมัติที่ใช้ทําได้
1: เป็นเพียงทฤษฎี
3: ยาก
ความตระหนักในเรื่องความ
ปลอดภัยของขอมูล (Awareness)
การตรวจจับการบุกรุก หรือ
ตรวจจับการกระทําที่เป็นภัยต่อ
ระบบขององค์กร
(Intrusion detection)
5: งาย
9: มีเครื่องมือแบบอัตโนมัติที่ใช้ทําได
1: ไมรู
4: ไม่เปิดเผย
6: ชัดเจน
9: รู้กันทั่วไป
ม
1: ตรวจจับเหตุการณ์ที่เกิดขึ้นทันทีในแอปพลิเคชัน
3: บันทึกและตรวจสอบ
8: บันทึกโดยไม่ตรวจสอบ
9: ไม่ได้ทําการบันทีก
Page 19 of 29
19

--- PAGE 35 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
3.4 ระดับการจัดอันดับความเสี่ยง (Risk rating level)
3.4.1 ความรุนแรงของความเสี่ยง (The Severity of the risk)
20
การประเมินความน่าจะเป็นและการประเมินผลกระทบจะประเมินร่วมกันเพื่อคำนวณความรุนแรง
โดยรวมของความเสี่ยงนี้ การทำเช่นนี้จะทำโดยการกำหนดว่าความน่าจะเป็นมีระดับต่ำ กลาง หรือสูง และทำ
เช่นเดียวกันสำหรับผลกระทบด้วย เกณฑ์การให้คะแนนระดับ 0 ถึง 9 ถูกแบ่งออกเป็นสามส่วนดังนี้
ระดับความน่าจะเป็นและผลกระทบ
0 ถึง < 3
3 ถึง < 6
6 ถึง 9
ต่ำ (Low)
กลาง (Medium)
สูง (High)
การให้คะแนนความเสี่ยงถูกคำนวณโดยการคูณผลกระทบและความน่าจะเป็นของอุปสรรคต่าง ๆ
คะแนนจะถูกกำหนดตามเกณฑ์ดังนี้
Impact
High
Medium
High
Critical
Medium
Low
Medium
High
Low
Information
Low
Medium
Low
Medium
High
Likelihood
Page 20 of 29

--- PAGE 36 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
3.4.2 คำจำกัดความของการจัดอันดับความเสี่ยง (Risk Rating Definitions)
ระดับความเสี่ยง
สูงมาก (Critical)
สูง (High)
ปานกลาง (Medium)
ต่ำ (Low)
เสนอแนะ
(Information)
คำอธิบาย
21
ระดับความรุนแรง "สูงมาก” เป็นระดับที่ยอมรับไม่ได้และควรพิจารณาการแก้ไขปัญหาโดย
ทันที เพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้ตามนโยบายและมาตรการด้านความปลอดภัย
ของข้อมูลขององค์กร และเพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูลรวมถึงความลับ
ความสมบูรณ์ และความพร้อมใช้งาน รวมถึงความรับผิดชอบในการบรรลุวัตถุประสงค์ของ
องค์กร การดำเนินงาน การเงิน ชื่อเสียง ความเป็นไปตามข้อกำหนด และความเป็นส่วนตัว
ของบุคคล
ระดับความรุนแรง "สูง" เป็นระดับที่ยอมรับไม่ได้และควรพิจารณาการแก้ไขข้อบกพร่องโดย
นำมาใช้ในทางปฏิบัติภายในระยะเวลาที่เหมาะสม และจัดการความเสี่ยงให้อยู่ในระดับที่
ยอมรับได้ตามนโยบายและมาตรการด้านความปลอดภัยของข้อมูลขององค์กร เพื่อลดความ
เสี่ยงด้านความปลอดภัยของข้อมูลรวมถึงความลับ ความถูกต้อง และความพร้อมใช้งาน
รวมถึงความรับผิดชอบในการบรรลุวัตถุประสงค์ขององค์กร การดำเนินงาน การเงิน ชื่อเสียง
ความเป็นไปตามข้อกำหนด และความเป็นส่วนตัวของบุคคล
ระดับความรุนแรง "ปานกลาง" ควรพิจารณาการแก้ไขข้อบกพร่องและนำมาใช้ในทางปฏิบัติ
ภายในระยะเวลาที่เหมาะสมตามนโยบายและมาตรการด้านความปลอดภัยของข้อมูลของ
องค์กรเพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูลรวมถึงความลับ ความถูกต้อง และ
ความพร้อมใช้งาน รวมถึงความรับผิดชอบในการบรรลุวัตถุประสงค์ขององค์กร การด้าเนินงาน
การเงิน ชื่อเสียง ความเป็นไปตามข้อกำหนด และความเป็นส่วนตัวของบุคคล อย่างไรก็ตาม
การยอมรับความเสี่ยงอาจถูกพิจารณา และความเสี่ยงควรถูกควบคุมเพื่อป้องกันไม่ให้เกิดการ
เพิ่มขึ้นไปสู่ระดับที่ยอมรับไม่ได้
ระดับความรุนแรง "ต่ำ" ควรพิจารณาว่าการทำการแก้ไขนั้นยังจำเป็นหรือไม่ หรือตัดสินใจที่
จะยอมรับความเสี่ยงตามนโยบายและมาตรการด้านความปลอดภัยของข้อมูลขององค์กรเพื่อ
ลดความเสี่ยงด้านความปลอดภัยของข้อมูลรวมถึงความลับ ความถูกต้อง และความพร้อมใช้
งาน รวมถึงความรับผิดชอบในการบรรลุวัตถุประสงค์ขององค์กร การดำเนินงาน การเงิน
ชื่อเสียง ความเป็นไปตามข้อกำหนด และความเป็นส่วนตัวของบุคคล
"เสนอแนะ" อาจมีการพัฒนาเพิ่มเติมเพื่อเสริมความแข็งแกร่งของการป้องกันสินทรัพย์ข้อมูล
ขององค์กรต่อไป ทั้งนี้ขึ้นอยู่กับการวิเคราะห์ขององค์กรเกี่ยวกับปัจจัยที่มีผลต่อความ
สมเหตุสมผลของต้นทุนสำหรับการกระทำการแก้ไขต่อไป
Page 21 of 29

--- PAGE 37 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
บทที่ 4 สรุปช่องโหว่ที่ตรวจพบ
22
หัวข้อนี้ได้ถูกจัดทำขึ้นเพื่อบรรยายสรุปช่องโหว่ที่ตรวจพบและความเสี่ยงที่เกี่ยวข้องในระหว่างการ
การทดสอบเจาะระบบ ซึ่งมีดังต่อไปนี้
ตารางที่ : 10 สรุปช่องโหว่ที่ตรวจพบจากการเจาะระบบและความเสี่ยงที่เกี่ยวข้อง
ID
Vulnerabilities name
Risk
Fixing Status
Remark
การทดสอบประเภท VULNERABILITY ASSESSMENT ของ OPERATING SYSTEM
1 ตรวจพบว่ามีการใช้ RHEL kernel package
สูง
ปิดโดยการแก้ไข
ไม่อัพเดทในเครื่องเป้าหมาย
การทดสอบประเภท VULNERABILITY ASSESSMENT ของ IMAGE FILE
ไม่พบช่องโหว
Page 22 of 29

--- PAGE 38 ---
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
บทที่ 5 รายละเอียดของช่องโหว่จากการทดสอบหาช่องโหว่
23
หัวข้อนี้ถูกออกแบบขึ้นเพื่อให้มีข้อมูลที่เป็นรายละเอียดเกี่ยวกับผลการตรวจพบพร้อมกับคำแนะนำใน
การแก้ไข เพื่อเสริมสร้างความปลอดภัยของระบบ
5.1 ตรวจพบว่ามีการใช้ RHEL kernel package ที่ไม่อัพเดทในเครื่องเป้าหมาย
ผลการทดสอบซ้า
วิธีการแก้ไข
อัพเดท Version RHSA-2025:19409
ประเด็นข้อตรวจพบและผลกระทบ
ระดับความเสี่ยง สถานะช่องโหว หมายเหตุ
สูง
ได้รับการแก้ไข
CVE-2025-39702 – IPv6 SR MAC comparison timing issue
ปัญหาในส่วนของ IPv6 Segment Routing ที่เปรียบเทียบค่า MAC address ไม่เป็น constant time ผู้โจมตี
สามารถใช้เวลาในการตอบสนอง (timing attack) เดา key หรือข้อมูลบางส่วนได้
CVE-2022-50367 - nilfs_mdt_destroy use-after-free
blu filesystem driver NILFS (New Implementation of Log-structured File System)
ฟังก์ชัน nilfs_mdt_destroy) อาจอ้างถึงหน่วยความจำที่ถูกคืนค่าแล้ว → kernel panic code
execution
CVE-2023-53494 - crypto xts handle EBUSY error incorrectly
ใน crypto subsystem (xts mode) ไม่จัดการ error EBUSY อย่างถูกต้องผลคืออาจใช้ key หรือ
buffer ผิด ทำให้การเข้ารหัสข้อมูลไม่ปลอดภัย หรือระบบล้มเหลวได้
สรุปผลกระทบ
ม
ระบบที่รัน kernel เวอร์ชันเก่าจะ เปิดช่องให้โจมตีหน่วยความจำและ timing leak ในบางกรณี อาจ
ถึงขั้นทำให้เครื่อง crash หรือรันโค้ดอันตรายบน kernel space ได้ ไม่มีผลเฉพาะ RHEL เท่านั้น
Linux, Rocky, Alma ที่ใช้ kernel เดียวกันก็ได้รับผลกระทบด้วย
Oracle
ท
ที่
(1) 172.26.181.23
172.26.181.28
172.26.181.86
172.26.181.87
172.31.181.28
เป้าหมายที่กระทบ
Page 23 of 29

--- PAGE 39 ---
172.31.181.29
172.31.181.82
172.31.181.149
172.31.181.204
ระดับความเสี่ยง
ระดับความเสี่ยง
สูง
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) สัญญาเลขที่ 64006243
เป้าหมายที่กระทบ
ความน่าจะเป็น
ปานกลาง
ผลกระทบ
สูง
9
อางอิง
คําอธิบาย
เพิ่มเติม
CVSS v3.0 Base Score: 7.8
CVSS v3.0 Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS v3.0 Temporal Vector: CVSS:3.0/E:U/RL:O/RC:C
CVSS v3.0 Temporal Score: 6.8
CVSS v2.0 Base Score: 6.8
CVSS v2.0 Temporal Score: 5.0
CVSS v2.0 Vector: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C
CVSS v2.0 Temporal Vector: CVSS2#E:U/RL:OF/RC:C
CWE: 208, 416, 664
RHSA: 2025:19409
CVE: CVE-2022-50367, CVE-2023-53494, CVE-2025-39702
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=2393533
https://bugzilla.redhat.com/show_bug.cgi?id=2396114
คําแนะนําในการแก้ไข
https://bugzilla.redhat.com/show_bug.cgi?id=2400777
http://www.nessus.org/u?928822f0
https://access.redhat.com/errata/RHSA-2025:19409
คำอธิบาย
Update the RHEL kernel package based on the guidance in RHSA-2025:19409.
Page 24 of 29
24

--- PAGE 40 ---
容
ตัวอย่างผลของการทดสอบ
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) 64006243
Remote package installed: kernel-5.14.0-570.58.1.e19_6
Should be
: kernel-5.14.0-570.60.1.e19_6
Remote package installed: kernel-core-5.14.0-570.58.1.e19_6
Should be
kernel-core-5.14.0-570.60.1.e19_6
Remote package installed: kernel-modules-5.14.0-570.58.1.e19_6
Should be
: kernel-modules-5.14.0-570.60.1.e19_6
Remote package installed: kernel-modules-core-5.14.0-570.58.1.e19_6
Should be
: kernel-modules-core-5.14.0-570.60.1.e19_6
Remote package installed: kernel-tools-5.14.0-570.58.1.e19_6
Should be
kernel-tools-5.14.0-570.60.1.e19_6
Remote package installed: kernel-tools-libs-5.14.0-570.58.1.e19_6
Should be
: kernel-tools-libs-5.14.0-570.60.1.e19_6
Remote package installed: kernel-5.14.0-570.58.1.e19_6
Should be
kernel-5.14.0-570.60.1.e19_6
Remote package installed: kernel-core-5.14.0-570.58.1.e19_6
Should be
: kernel-core-5.14.0-570.60.1.e19_6
Remote package installed: kernel-modules-5.14.0-570.58.1.e19_6
Should be
kernel-modules-5.14.0-570.60.1.e19_6
Remote package installed: kernel-modules-core-5.14.0-570.58.1.e19_6
Should be
kernel-modules-core-5.14.0-570.60.1.e19_6
Remote package installed: kernel-tools-5.14.0-570.58.1.e19_6
Should be
kernel-tools-5.14.0-570.60.1.e19_6
Remote package installed: kernel-tools-libs-5.14.0-570.58.1.e19_6
Should be
: kernel-tools-libs-5.14.0-570.60.1.e19_6
NOTE: The vulnerability information above was derived by checking the
package versions of the affected packages from this advisory. This
scan would normally rely on checking for the presence of specific
installed and enabled Red Hat repositories, but either no repositories
were found in the repository directory, the repository files were empty
or missing, or the scan account lacked permissions to access them.
Please ensure that the repository files are populated and the scanning
account has permissions to examine the files in /etc/yum.repos.d/.
Page 25 of 29
25

--- PAGE 41 ---
☑
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) 64006243
บทที่ 6 ผลการทดสอบหาช่องโหว่
26
หัวข้อนี้ถูกออกแบบขึ้นเพื่อให้มีข้อมูลที่ข้อมูลที่เกี่ยวกับผลการตรวจพบพร้อมกับคำแนะนำในการ
แก้ไข เพื่อเสริมสร้างความปลอดภัยของระบบ โดยใน
6.1 การทดสอบหาช่องโหว่ Image Module M3
6.1.1 vẵngnunnsøs loma.app.baac.or.th/e2e/m3/frontend-react
Report Summary
Туре Vulnerabilities Secrets
6
Target
loma.app.baac.or.th/e2e/m3/frontend-react: v2.2.12 (alpine 3.18.4) alpine
Legend:
: Not scanned
'0' Clean (no security findings detected)
6.1.2 vångnunnsas loma.app.baac.or.th/e2e/m3/Backend-go-api
Report Summary
Target
loma.app.baac.or.th_e2e_m3_backend-go-api_v2.2.12.tar (alpine 3.22.2)
Туре
alpine
gobinary
Vulnerabilities
Secrets
7
4
app/main
Legend:
- Not scanned
'0'
Clean (no security findings detected)
6.1.3 vångnunnsøsiɔɔ loma.app.baac.or.th/e2e/m3/Report-server-api
In Report Summary:
Table Report: trivy-report-m3-report-server-api.txt
Target
loma.app.baac.or.th/e2e/m3/report-server-api:1.0.3 (alpine 3.15.11)
Type Vulnerabilities Secrets
alpine
B
6.1.4 vẵngnunnsasi loma.app.baac.or.th/e2e/m3/dashboard-ui
Report Summary
Target
loma.app.baac.or.th/e2e/m3/dashboard-ui:v1.0.51 (alpine 3.18.4)
Θ
Type Vulnerabilities Secrets
alpine
Legend:
Not scanned
'0': Clean (no security findings detected)
6.1.5 mångunnsm loma.app.baac.or.th/e2e/m3/dayend-batch
Report Summary
Target
loma.app.baac.or.th/e2e/m3/dayend-batch:1.0.1 (alpine 3.15.11)
Ө
Туре Vulnerabilities Secrets
alpine
target/yit-baac-batch-0.0.1-SNAPSHOT.jar
jar
Ө
Legend:
: Not scanned
- '0': Clean (no security findings detected)
Page 26 of 29

--- PAGE 42 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
6.2 การทดสอบหาช่องโหว Image Module M4
(Enhance Debt Management Service) 64006243
6.2.1 vångnunnsas Baaccoreservice20251110.tar
Report Summary
Target
Type Vulnerabilities Secrets
baaccoreservice20251110. tar (alpine 3.22.2)
alpine
0
usr/local/tomcat/bin/commons-daemon.jar
jar
0
usr/local/tomcat/bin/tomcat-juli.jar
jar
0
usr/local/tomcat/lib/annotations-api.jar
jar
0
usr/local/tomcat/lib/catalina-ant.jar
jar
0
usr/local/tomcat/lib/catalina-ha.jar
jar
0
usr/local/tomcat/lib/catalina-ssi.jar
jar
0
usr/local/tomcat/lib/catalina-storeconfig.jar
jar
0
usr/local/tomcat/lib/catalina-tribes.jar
jar
0
usr/local/tomcat/lib/catalina.jar
jar
0
usr/local/tomcat/lib/ecj-4.27.jar
jar
0
usr/local/tomcat/lib/el-api.jar
usr/local/tomcat/lib/jakartaee-migration-1.0.9-shaded.jar
usr/local/tomcat/lib/jasper-el.jar
jar
0
jar
0
jar
0
usr/local/tomcat/lib/jasper.jar
jar
0
usr/local/tomcat/lib/jaspic-api.jar
jar
0
usr/local/tomcat/lib/jsp-api.jar
usr/local/tomcat/lib/servlet-api.jar
jar
0
jar
0
usr/local/tomcat/lib/tomcat-api.jar
usr/local/tomcat/lib/tomcat-coyote-ffm.jar
usr/local/tomcat/lib/tomcat-coyote.jar
usr/local/tomcat/lib/tomcat-dbcp.jar
usr/local/tomcat/lib/tomcat-i18n-cs.jar
usr/local/tomcat/lib/tomcat-i18n-de.jar
usr/local/tomcat/lib/tomcat-i18n-es.jar
usr/local/tomcat/lib/tomcat-i18n-fr.jar
usr/local/tomcat/lib/tomcat-i18n-ja.jar
usr/local/tomcat/lib/tomcat-i18n-ko.jar
usr/local/tomcat/lib/tomcat-i18n-pt-BR.jar
usr/local/tomcat/lib/tomcat-i18n-ru.jar
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
Page 27 of 29
27

--- PAGE 43 ---
容
usr/local/tomcat/lib/tomcat-i18n-zh-CN.jar
usr/local/tomcat/lib/tomcat-jdbc.jar
usr/local/tomcat/lib/tomcat-jni.jar
usr/local/tomcat/lib/tomcat-util-scan.jar
usr/local/tomcat/lib/tomcat-util.jar
usr/local/tomcat/lib/tomcat-websocket.jar
usr/local/tomcat/lib/websocket-api.jar
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
(Enhance Debt Management Service) 64006243
usr/local/tomcat/lib/websocket-client-api.jar
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
jar
0
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/HikariCP-5.0.1.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/SparseBitSet-1.3.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/angus-activation-2.0.2.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/antlr4-runtime-4.13.0.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/bcprov-jdk18on-1.78.1.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/byte-buddy-1.15.11.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/checker-qual-3.33.0.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/classmate-1.7.0.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-beanutils-1.11.0.j-
ar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-codec-1.17.2.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-collections-3.2.2.-
jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-collections4-4.5.0- jar
-M2.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-compress-1.26.2.jar jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-io-2.16.1.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-lang3-3.18.0.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-logging-1.3.5.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/commons-math3-3.6.1.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/curvesapi-1.08.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/error_prone_annotations-2.- jar
18.0.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/failureaccess-1.0.1.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/guava-32.1.2-jre.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/hibernate-commons-annotati- jar
ons-6.0.6.Final.jar
0
0
jar
0
jar
0
jar
0
jar
0
jar
0
0
jar
0
jar
0
0
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/hibernate-core-6.5.2.Final- jar
.jar
usr/local/tomcat/webapps/BAACCoreService/WEB-INF/lib/hibernate-hikaricp-6.5.2.F- jar
inal.jar
Page 28 of 29
0
0
28
1

--- PAGE 44 ---
容
สัญญาจ้างพัฒนาระบบงานบริหารจัดการคุณภาพหนี้เพื่อยกระดับการให้บริการ
6.3 การทดสอบหาช่องโหว Image Module COJ
(Enhance Debt Management Service) 64006243
6.3.1 vẵngnunnsasɔɔ baac-api-backend.tar and app/app.jar
Report Summary
Target
baac-api-backend.tar (alpine 3.22.2) alpine
app/app.jar
Туре
Vulnerabilities Secrets
0
-
jar
0
-
Legend:
'-': Not scanned
'0'
Clean (no security findings detected)
6.3.2 wangu baac-api-frontend.tar
Report Summary
Target
Туре
Vulnerabilities
Secrets
baac-api-frontend.tar (alpine 3.21.5)
alpine
0
Legend:
': Not scanned
- '0': Clean (no security findings detected)
Page 29 of 29
29