|
|
Bezpečnostní testování protokolů rodiny IPv6 a souvisejících zranitelností
Vopálka, Matěj ; Phan, Viet Anh (oponent) ; Jeřábek, Jan (vedoucí práce)
Tato práce se zabývá problematikou Internetového Protokolu verze 6 (IPv6), zejména pak v oblasti jeho bezpečného nasazení. Jsou zde zmíněny nedostatky protokolu IPv4 a důvody vzniku protokolu IPv6. Dále je zde probrána problematika adresace, struktury rámce IPv6 a jsou uvedeny základní typy rozšiřujících záhlaví IPv6. Práce se také zabývá souvisejícími protokoly s IPv6 jako NDP, SLAAC a DHCPv6. Obsahuje i úvod do penetračního testování, popis základních typů hackerů a obecný popis útoků v oblasti informační bezpečnosti. Praktická část se věnuje vývoji aplikace pro automatické testování zranitelností IPv6 sítí Penvuhu6. Nástroj je vyvinut v programovacím jazyce Python za pomocí knihovny Scapy. Penvuhu6 byl testován v emulovaném síťovém prostředí programem GNS3. Pro nástroj byly vyvinuty tři testové scénáře zaměřující se na testování průchodu repetetivních a špatně seřazených záhlaví, překrývajících se fragmentů a Router advertisement a DHCPv6 advertisement zpráv. Penvuhu6 bylo testováno na emulovaném zařízení RouterOS se základní a restriktivní konfigurací.
|
|
|
Nástroj pro penetrační testování aplikačního serveru
Vašíček, Tomáš ; Šeda, Pavel (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato diplomová práce se zabývá problematikou penetračního testování aplikačních protokolů. V rámci práce jsou představeny aplikační protokoly FTP, SSH, SMTP, POP3 a IMAP a jsou prozkoumány jejich možné zranitelnosti. Informace o zranitelnostech jsou získávány z veřejně dostupných sbírek typu HackTricks a The Hacker Recipes, ale rovněž vlastním studiem RFC dokumentů jednotlivých protokolů. Na základě nalezených zranitelností jsou sestrojeny kontrolní seznamy sloužící pro návodné provedení penetračního testera procesem testování daného protokolu. Hlavním přínosem práce je vývoj modulárního automatizovaného nástroje ptapptest a dalšího pomocného nástroje ptntlmauth, které slouží pro penetrační testování zmíněných aplikačních protokolů. Závěrem práce je provedeno testování nástroje ptapptest na reálných aplikačních serverech, které byly nalezeny pomocí vyhledávače Shodan.
|
|
|
Nástroj pro podporu přípravné fáze penetračního testování
Žáček, Dominik ; Gerlich, Tomáš (oponent) ; Sikora, Pavel (vedoucí práce)
Tato práce se zabývá vývojem pokročilého nástroje určeného pro zefektivnění týmového penetračního testování. Nástroj pracuje tak, že automaticky přiřazuje úkoly penetračním testerům na základě schopností a historického výkonu. Teoretická část práce podrobně analyzuje různé metody řešení problému přiřazení, zejména Maďarskou metodu a lineárním programováním. V teoretické části následuje návrh dvou-krokového algoritmu pro přiřazení úkolů. Dále je detailně popsán princip fungování neuronových sítí, které jsou základem druhého kroku přiřazení. V rámci práce byly také vytvořeny unikátní metody pro generování dvou datových sad. Bylo implementováno rozhraní pro přiřazení úkolů a byly navrženy metriky určující kvalitu přiřazení. Výsledkem je nástroj, který výrazně zefektivňuje přidělení úkolů penetračním testerům a zvyšuje celkovou efektivitu penetračního testování v týmech.
|
|
|
Interaktivní grafické prostředí pro vizualizaci penetračního testování
Klampár, Roman ; Martinásek, Zdeněk (oponent) ; Lieskovan, Tomáš (vedoucí práce)
Táto diplomová práca sa zaoberá návrhom, vývojom a implementáciou interaktívneho grafického prostredia na podporu penetračného testovania. V teoretickej časti sú popísané základné koncepty penetračného testovania, predstavenie platformy Penterep a~technológie použité pri vývoji, ako sú Vue 3, TypeScript a D3.js. Praktická časť sa zameriava na návrh dátovej štruktúry a architektúry, ako aj implementáciu sieťového grafu s interaktivitou vrátane drag and drop, zoom a panoramatického posunu. Implementované riešenie umožňuje manipuláciu s~grafom a jeho dátami, čím je možné meniť štruktúru grafu. Výsledkom práce je balíček určený na flexibilnú integráciu do existujúcich projektov, ako je platforma Penterep, do ktorej bolo riešenie tiež integrované. Práca taktiež analyzuje výkon vykresľovania grafov pomocou HTML5 Canvas a SVG. Testovanie sledovalo čas vykreslenia, FPS a využitie pamäte pri rôznych veľkostiach grafov. Výsledky ukazujú, že HTML5 Canvas je výkonnejší pri väčšom množstve dát. Cieľom práce je zvýšiť efektivitu penetračného testovania, znížiť časovú náročnosť a~zjednodušiť potrebné procesy v~porovnaní s~aktuálne dostupnými nástrojmi.
|
|
|
Tool for Dynamic Analysis of Web Applications
Píš, Patrik ; Martinásek, Zdeněk (oponent) ; Ilgner, Petr (vedoucí práce)
This master's thesis presents matters of penetration testing of web applications with the primary focus on the use of dynamic analysis. The thesis analyzes the current state of the art of web application security and focuses on both individual vulnerabilities and the protection mechanisms implemented by web applications. The main objective of the thesis is to design and implement an automated offensive tool that tests the resilience of a~web application to cyber threats. Compared to other available tools and their limitations, the proposed solution enables efficient rate limiting testing while also allowing testing of HTTP headers, cookie attributes, and content security policy directives. To validate its effectiveness in supporting manual penetration testing of web applications, a sandbox environment was created where experimental testing was conducted. The tool was also tested in a real production environment during penetration tests for real clients with positive feedback from professional penetration testers, demonstrating its practicality and usability in web application penetration testing.
|
|
|
Nástroje pro penetrační testování Wi-Fi a IPv4
Jančík, David ; Lieskovan, Tomáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Diplomová práce se zabývá návrhem a implementací podpůrných nástrojů a metodologie pro bezpečnostní penetrační testování bezdrátových sítí Wi-Fi a síťové infrastruktury IPv4. Teoretická část se věnuje samotnému penetračnímu testování, přístupů, fázi a typům. Dále je popsán vývoj Wi-Fi sítí a jejich bezpečnostní protokoly. Jsou představeny různé penetrační nástroje pro Wi-Fi sítě a také typy útoků. V poslední teoretické části je popsán základní přehled o IPv4 a nástroje pro skenování IPv4. Nejprve se v praktické části navrhne vlastní metodologie pro Wi-Fi sítě a IPv4 a nástroje pro penetrační testování. Definuje se programovací jazyk Python a výstup jednotlivých nástrojů pro platformu Penterep. Proběhne rešerše nástrojů z teoretické části pro zvolení vhodných nástrojů pro nové podpůrné nástroje. Vlastní implementace penetračních nástrojů vychází z vytvořeného návrhu diagramu. Závěrem jsou shrnuty dosažené výsledky a návrhy na další rozšíření nástrojů pro Wi-fi a IPv4. Výsledkem této práce je implementace podpůrných nástrojů a návrh diagramu pro Wi-Fi sítě a IPv4.
|
|
|
Network Scanner for PowerShell
Sabota, Dominik ; Šeda, Pavel (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This study focuses on the development and implementation of a network scanning tool for the scripting language Powershell version 5.1 and higher. This tool, named Oculus, was specifically designed for the use of sophisticated network scanning methods during penetration testing and other security audits, thereby becoming part of the broader context of cybersecurity. Within the set requirements and limitations, the Oculus tool was successfully implemented. This work thoroughly analyzes the process of development and implementation of this tool, its limitations, and their impact on overall effectiveness, which is subsequently tested and evaluated. Although the development process brought certain challenges, the testing results confirmed that the Oculus tool provides valuable outputs, thereby confirming its usability in the matter of improving cybersecurity.
|
|
|
Návrh a tvorba proxy pro penetrační testování
Válka, Michal ; Bláha, Lukáš (oponent) ; Dydowicz, Petr (vedoucí práce)
Bakalářská práce se zaměřuje na návrh a vývoj proxy sloužící pro účely penetračního testování. Práce se dělí na tři hlavní části a začíná teoretickou částí rozebírající základní technologie a principy, na kterých aplikace staví. Druhá kapitola se zabývá analýzou současného stavu hodnotící aktuálně dostupné alternativy pro penetrační testy síťové komunikace. Z provedených analýz jsou vyvozeny požadavky na finální produkt, jehož návrh a vývoj je popsán v kapitole vlastního návrhu. V závěru práce je shrnuto vyvinuté řešení a jeho přínosy pro penetrační testování.
|
|
|
Aplikace pro znázornění struktury testovaného prostředí
Kuřina, Petr ; Holasová, Eva (oponent) ; Kuchař, Karel (vedoucí práce)
Tato bakalářská práce se zabývá vytvořením aplikace pro znázornění struktury testovaného prostředí. V teoretické části jsou popsány nástroje, s kterými se v praktické části pracuje, je to zejména programovací jazyk JavaScript, framework Vue.js a penetrační testování obecně. V praktické části jsou prezentovány výsledky testování topologie sítě, která byla prováděna nástrojem Nmap. Cílem praktické části je vytvořit aplikaci, která bude uživateli srozumitelně demonstrovat výsledky testování
|
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
host ::
RSS.