Vulnerability Assessment of online learning platform

Abstract

This research focuses on the security assessment and vulnerability testing of Moodle websites, specifically versions 3.7.1 and 4.5.1, which are deployed via Docker on the Ubuntu 24.04.1 LTS operating system and managed using Proxmox. This setup allows for a flexible testing environment simulation. The use of Docker simplifies infrastructure management and enables efficient comparison of security assessments between the two versions. The study utilizes open-source security tools, including OWASP ZAP, OpenVAS, and Nessus, to analyze and detect critical vulnerabilities in Moodle. The security evaluation primarily focuses on SQL Injection, Cross-Site Scripting (XSS), Remote Code Execution (RCE), and server security misconfigurations.The objective of this research is to identify vulnerabilities affecting Moodle’s security and to compare the test results between versions 3.7.1 and 4.5.1 to assess improvements in system security. Additionally, it aims to develop best practices for enhancing Moodle's security by applying the Common Vulnerability Scoring System (CVSS) to analyze vulnerability severity levels and propose mitigation strategies such as SSL/TLS configuration, role-based access control (RBAC), and Content Security Policy (CSP) enforcement to strengthen system protection.The expected outcome of this study is to enhance security and reliability for Moodle websites used by educational institutions with limited resources, reducing the risk of potential cyberattacks. Moreover, this research aims to promote the effective use of open-source security tools for managing and assessing vulnerabilities efficiently.

การวิจัยนี้มุ่งเน้นการประเมินความมั่นคงปลอดภัยและการทดสอบช่องโหว่ของเว็บไซต์ Moodle โดยใช้เวอร์ชัน 3.7.1 และ 4.5.1 ซึ่งติดตั้งผ่าน Docker บนระบบปฏิบัติการ Ubuntu 24.04.1 LTS และจัดการด้วย Proxmox เพื่อให้สามารถจำลองสภาพแวดล้อมการทดสอบได้อย่างยืดหยุ่น การใช้ Docker ช่วยลดความซับซ้อนของการบริหารจัดการโครงสร้างพื้นฐาน และช่วยให้สามารถเปรียบเทียบผลการทดสอบระหว่างสองเวอร์ชันได้อย่างมีประสิทธิภาพการศึกษานี้ใช้ เครื่องมือโอเพนซอร์สด้านความมั่นคงปลอดภัย ได้แก่ OWASP ZAP, OpenVAS และ Nessus ในการวิเคราะห์และตรวจจับช่องโหว่สำคัญของเว็บไซต์ Moodle โดยเน้นการประเมินความมั่นคงปลอดภัยที่เกี่ยวข้องกับ SQL Injection, Cross-Site Scripting (XSS), Remote Code Execution (RCE) และ ช่องโหว่ด้านการกำหนดค่าความมั่นคงปลอดภัยของเซิร์ฟเวอร์เป้าหมายของการวิจัยนี้คือการระบุช่องโหว่ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของเว็บไซต์ Moodle และ เปรียบเทียบผลการทดสอบ ระหว่างเวอร์ชัน 3.7.1 และ 4.5.1 เพื่อประเมินพัฒนาการในการปรับปรุงความมั่นคงปลอดภัยของระบบ รวมถึงการพัฒนา แนวทางปฏิบัติที่ดีที่สุด (Best Practices) สำหรับการเพิ่มความมั่นคงปลอดภัยของ Moodle โดยใช้มาตรฐาน CVSS (Common Vulnerability Scoring System) ในการวิเคราะห์ระดับความรุนแรงของช่องโหว่ที่พบ และเสนอแนวทางแก้ไข เช่น การตั้งค่า SSL/TLS การจัดการสิทธิ์ผู้ใช้ (RBAC) และการกำหนด Content Security Policy (CSP) เพื่อเพิ่มระดับการป้องกันระบบผลการวิจัยคาดว่าจะช่วยเสริมสร้างความมั่นคงปลอดภัยและเพิ่มความน่าเชื่อถือให้กับเว็บไซต์ Moodle ของวิทยาลัยการศึกษาที่มีทรัพยากรจำกัด ลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นในอนาคต รวมถึงช่วยให้สามารถใช้ เครื่องมือโอเพนซอร์สด้านความมั่นคงปลอดภัย ในการจัดการและตรวจสอบช่องโหว่ได้อย่างมีประสิทธิภาพมากขึ้น