|
|
Penetrační testování webových aplikací
Hric, Michal ; Čermák, Igor (vedoucí práce) ; Hlaváč, Jindřich (oponent)
Cílem této práce bylo analyzovat úroveň zabezpečení vybraných open-source webových aplikací na základě penetračního testování provedeného v jednotlivých fázích testování definovaných metodikou PTES. Součástí cíle práce bylo použití nové metodiky PETA pro penetrační testování webové aplikace a vytvoření nových znalostních objektů zabývajících se penetračním testováním v portálu MBI. Testovány byly open-source webové aplikace Juice Shop, NodeGoat, XVWA a bWAPP. Zabezpečení všech testovaných webových aplikací bylo vyhodnoceno jako nedostatečné, jelikož byla identifikována alespoň jedna zranitelnost s vysokým rizikem zneužití u každé z testovaných aplikací. Ke každé nalezené zranitelnosti v aplikaci je uvedeno doporučené nápravné opatření pro eliminaci rizika spojeného s danou zranitelností. Při použití metodiky PETA pro penetrační testování bylo přínosem převážně integrování penetračního testování v rámci řízení IS/IT v organizaci na základě aplikace zúženého rámce pro řízení IS/IT. V závěru práce jsou uvedeny a popsány nově vytvořené znalostní objekty v portálu MBI. Vytvořené objekty zahrnují úlohu zabývající se průběhem penetračního testování, sadu metrik pro hodnocení úspěšnosti penetračního testování a role vázané k dané úloze.
|
|
|
Testování zabezpečení redakčního systému GetSimple
Kadoch, Lukáš ; Veber, Jaromír (vedoucí práce) ; Čermák, Radim (oponent)
Hlavním cílem této práce je otestovat zabezpečení redakčního systému GetSimple pomocí metodiky OWASP. První část se zabývá teorií a objasněním odborných termínů, které se používají v oblasti zabezpečení webových aplikací. Dále se věnuje představení vybraného redakčního systému GetSimple včetně jeho parametrů a požadavků na hostující server. Druhá část je věnována samotnému penetračnímu testování. Každý z testů obsahuje cíl, postup a v případě objevení zranitelnosti i návrh na zlepšení. Testování podléhá standardům metodiky OWASP a je řízeno podle dokumentace OWASP Top Ten. Přínosem této práce je nalezení bezpečnostních rizik ve vybraném systému.
|
|
|
Testování zabezpečení webové aplikace
Kapal, Martin ; Veber, Jaromír (vedoucí práce) ; Luc, Ladislav (oponent)
Tato práce se zabývá bezpečností webových aplikací. Účelem teoretické části je seznámit se s problematikou bezpečnosti webových aplikací v obecné rovině a poukázat na časté způsoby, kterými lze využít bezpečnostních slabin v aplikacích. První část se podrobněji věnuje projektu Open Web Application Security Project (OWASP), se zaměřením na projekt OWASP Top Ten, jež shrnuje deset nejkritičtějších bezpečnostních zranitelností webových aplikací. Praktická část práce se věnuje testování zabezpečení vybrané aplikace pomocí penetračního testování. Nejprve je představena samotná aplikace, následuje výběr vhodných nástrojů pro testování a popis průběhu testů. Výstupem této práce je shrnutí výsledků testů dané aplikace, vyhodnocení a zabezpečení nalezených zranitelností.
|
|
|
Laboratorní úloha seznamující studenty se síťovými útoky
Dostál, Adam ; Malina, Lukáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce je zaměřena na penetrační testování webových aplikací. Teoretická část popisuje tuto problematiku a metodologii. V práci je zahrnuta bezpečnostní organizace „The Open Web Application Security Project“ (OWASP), dokument OWASP Top 10 a prvních 5 zranitelností tohoto dokumentu. Poslední část uvádí linuxovou distribuci Kali Linux a několik nejpoužívanějších penetračních nástrojů. Praktickou část tvoří testování prvních pěti zranitelností z dokumentu OWASP Top 10 2013. Obsahuje popis použitého SW pro realizaci útoků, virtuální infrastruktury a test jednotlivých zranitelností. Z praktické části je vytvořena laboratorní úloha „Penetrační testování webových aplikací“ a dodatečná úvodní úloha „Úvod do problematiky penetračního testování“.
|
|
|
Testování zranitelností webových aplikací
Bendík, Lukáš ; Barabas, Maroš (oponent) ; Koranda, Karel (vedoucí práce)
Cílem práce je poskytnout přehled nejčastěji se vyskytujících zranitelností webových aplikací a postupy, které se používají při jejich testování. Při každé zranitelnosti je uveden její popis, názornej příklad a způsob zabezpečení aplikace proti ní. V práci jsou dále uvedeny automatické nástroje, které se používají při testování zranitelností webových aplikací. Jako součást práce byla implementována aplikace s vloženými zranitelnostmi, na které je možné podrobit zkoušce teoretické postupy testování, spolu s automatickými nástroji určenými k tomuhle účelu.
|
|
| |
|
|
Penetrační testování open-source software
Hrozek, Jakub ; Rogalewicz, Adam (oponent) ; Smrčka, Aleš (vedoucí práce)
Tato práce se zabývá návrhem a implementací integrovaného systému pro penetrační testování. První a druhá kapitola se zaměřují na na seznámení čtenáře s problematikou penetračního testování. Popisují základní techniky a rozdělení testů, zmiňuje některé nejčastěji používané metodiky a diskutuje potřebu penetrační testování pokud možno automatizovat. Pátá a šestá kapitola se zabývají specifikací a podrobným návrhem nástroje pro provádění penetračních testů. Implementace a problémy řešené během ní jsou předmětem sedmé kapi- toly. Poslední část práce popisuje praktické experimenty, provedené s vyvinutým programem a poskytuje některé rady, které mohou sloužit k bezpečnějšímu nastavení sítí.
|
|
| |
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnostní audit firewallu
Krajíček, Jiří ; Pelka, Tomáš (oponent) ; Pust, Radim (vedoucí práce)
Cílem této diplomové práce je bezpečnostní audit firewallu. Základními úkoly je seznámit s principy nástrojů umožňující audit, vytvořit metodiku auditu a poté podle vytvořené metodiky provést bezpečnostní audit vybraných firewallů. Teoretická část dokumentu pojednává obecně o firewallech a možnostech zapojení do síťové infrastruktury. Dále o auditu a principech nástrojů k provedení auditu. Následující praktická část se pak zabývá vytvořením metodiky včetně penetračního testování. Pomocí vytvořených metodik a procedur je poté proveden audit linuxového firewallu a firewallu Microsoft ISA 2006. Součástí každého auditu je na závěr proveden návrh změn konfigurací vedoucích k zabezpečení bezpečnostních nedostatků.
|
host ::
RSS.