|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnostní audit firewallu
Krajíček, Jiří ; Pelka, Tomáš (oponent) ; Pust, Radim (vedoucí práce)
Cílem této diplomové práce je bezpečnostní audit firewallu. Základními úkoly je seznámit s principy nástrojů umožňující audit, vytvořit metodiku auditu a poté podle vytvořené metodiky provést bezpečnostní audit vybraných firewallů. Teoretická část dokumentu pojednává obecně o firewallech a možnostech zapojení do síťové infrastruktury. Dále o auditu a principech nástrojů k provedení auditu. Následující praktická část se pak zabývá vytvořením metodiky včetně penetračního testování. Pomocí vytvořených metodik a procedur je poté proveden audit linuxového firewallu a firewallu Microsoft ISA 2006. Součástí každého auditu je na závěr proveden návrh změn konfigurací vedoucích k zabezpečení bezpečnostních nedostatků.
|
|
|
Vývoj nástroje na automatizované penetrační testování webových aplikací
Kiezler, Tomáš ; Hradil, Jiří (vedoucí práce) ; Pavlíček, Luboš (oponent)
Tato práce se zabývá bezpečností webových aplikací, která může být měřena výsledky penetračního testování. V teoretické části jsou popsány jednotlivé metody, kterými je možné testování provádět, předloženy výhody a nevýhody oproti manuálnímu testování a zhodnoceny nástroje, které mají integrováno automatické skenování zabezpečení webových aplikací. Součástí jsou též statistiky výskytu rizik v prostředí českého internetu. V praktické části je popsán vývoj vlastního nástroje na automatizované testování v nejběžněji se vyskytujícím programovacím jazyce v oblasti webových aplikací, který bude schopen odhalovat nejčastěji se vyskytující slabiny. Nástroj je vyvíjen na poukázání možností, jak daná rizika odhalovat a zdali je to vůbec automatizovaně možné. Práce má za úkol vzdělat čtenáře v oblasti bezpečnosti webových stránek, objasnit legálnost penetračního testování a seznámit ho s možnostmi, jak najít a řešit bezpečnostní rizika a jak se jich při vývoji vyvarovat.
|
|
|
Aplikace pro sdílení znalostí a jejich bezpečnost
Kůrka, Jan ; Veber, Jaromír (vedoucí práce) ; Luc, Ladislav (oponent)
Cílem této bakalářské práce je popsat problematiku zabezpečení webových aplikací pro sdílení znalostí. V teoretické části práce jsou vymezeny základní pojmy související s touto oblastí a dále jsou popsány typy testů, kterými lze ověřit bezpečnost aplikace. Následuje představení nadace OWASP a jejich vývojářských a dokumentačních projektů. Podrobněji popsán je pak projekt OWASP Top Ten 2013, informující o deseti nejkritičtějších bezpečnostních hrozbách pro webové aplikace. Závěrem teoretické části jsou představeny aplikace pro sdílení znalostí a jejich nejznámější open-source zástupci. Praktická část práce je věnována penetračnímu testování tří nejpoužívanějších wiki aplikací. Je zde představena konkrétní metodika testování včetně postupu a dále výsledky samotných testů. Výsledky jsou okomentovány a podrobněji vysvětleny a je zhodnoceno celkové zabezpečení každé aplikace. Přínosem této bakalářské práce je ověření zabezpečení u v současnosti nejpoužívanějších aplikací pro sdílení znalostí a nalezení jejich zranitelných míst. Výsledky testů spolu s nalezenými nedostatky budou odeslány vývojářům těchto aplikací.
|
|
|
Nástroje pro hodnocení zranitelností
Charvát, Michal ; Veber, Jaromír (vedoucí práce) ; Klíma, Tomáš (oponent)
Tato bakalářská práce se zabývá oblastí bezpečnosti informačních systémů, s názvem hodnocení zranitelností. Hodnocení zranitelností se provádí speciálními nástroji, které se nazývají skenery zranitelností. V této práci nejdříve teoreticky představím oblast bezpečnosti informačních systémů a její historii, základní pojmy hodnocení zranitelností a souvisejících témat, jako je například penetrační testování. Následně bude provedeno několik skenování za použití vybraných volně dostupných nástrojů a analýza jejich výsledků. Hlavním kritériem bude počet a závažnost nalezených zranitelností, ale v neposlední řadě bude porovnána i poměrně subjektivní oblast uživatelské přívětivosti.
|
|
|
Obrana proti útokům sociálního inženýrství
Škopec, Antonín ; Sigmund, Tomáš (vedoucí práce) ; Šimek, Luděk (oponent)
Tato diplomová práce se zabývá problematikou sociálního inženýrství a obrany proti němu. Útoky sociálního inženýrství představují výraznou hrozbu pro organizace a jejich informační systémy, jelikož jejich cílem je nejslabší článek zabezpečení každého informačního systému - uživatel. Útočník tak může snadno obejít i velice sofistikované technické zabezpečení systému. Tato práce se zaobírá otázkou, jak efektivně zabezpečit lidský prvek informačního systému.
|
|
|
Testování zabezpečení e-commerce aplikací
Trnka, Karel ; Veber, Jaromír (vedoucí práce) ; Klíma, Tomáš (oponent)
Cílem této bakalářské práce je popsat koncept testování zabezpečení e-commerce aplikací. První část je věnována teoretické rovině. Jsou zde definovány základní pojmy spojené s danou problematikou; následuje objasnění možností penetračních testů a v závěru první části této bakalářské práce je představen projekt OWASP (Otevřený projekt bezpečnosti webových aplikací) a též dílčí dokumentační projekt "OWASP Top Ten", který zobrazuje deset nejkritičtějších bezpečnostních rizik webových aplikací. Druhá část této práce je věnována praktickým penetračním testům třech vybraných e-commerce produktů. Jsou zde objasněny cíle, postup, ale i metodika provedených testů, která podléhá standardům projektu OWASP. Výsledný report je v následující kapitole zdokumentován, a to včetně návrhů na redukci zjištěných zranitelností. Přínos této bakalářské práce spočívá v nalezení zranitelných míst u vybraných e-commerce produktů. Výsledný report bude dále odeslán vývojařům těchto aplikací společně s návrhy na řešení objevených problémů.
|
|
|
Testování bezdrátové sítě Eduroam na VŠE v Praze
Tomandl, Zdeněk ; Pavlíčková, Jarmila (vedoucí práce) ; Klíma, Tomáš (oponent)
Tato bakalářská práce je zaměřena na testování bezpečnosti bezdrátových sítí, konkrétně na testování bezpečnosti bezdrátové sítě Eduroam na Vysoké škole ekonomické v Praze. Hlavním cílem práce je otestovat bezpečnost bezdrátové sítě Eduroam podle metodiky WIPE, a to až do úplného prolomení zabezpečení. Práce je rozdělena na teoretickou a praktickou část. Teoretická část vymezuje penetrační testování, typy testů a metodiky ISSAF, OSSTMM a dále přibližuje kroky 1 -- 4 metodiky WIPE doplněné o další informace z odborné literatury a jiných zdrojů. Praktická část popisuje test bezpečnosti bezdrátové sítě Eduroam, který je ukončený pokusem o prolomení jejího zabezpečení. Přínosem této práce je kromě testu bezdrátové sítě průzkum nastavení parametrů bezdrátového připojení na studentských zařízeních. Po přečtení této bakalářské práce by měl mít čtenář povědomí o penetračních testech, existujících typech zabezpečení a o možnostech provedení penetračního testu bezdrátové sítě.
|
|
|
Aplikace e-learningu a bezpečnost dat
Menčík, Jan ; Veber, Jaromír (vedoucí práce) ; Čermák, Radim (oponent)
V této bakalářské práci je řešeno téma bezpečnostních hrozeb pro webové aplikace s praktickou částí vyhodnocení zabezpečení vybraných e-learningových aplikací. Jsou zde popsány nejčastější současné hrozby pro webové aplikace, techniky útoků a techniky zabezpečení. Prostředí webu dalo vzniknout celé škále technik narušení bezpečnosti webových aplikací. První část práce je věnována především nejčastějším hrozbám a útokům. V další části práce jsou představeny techniky zabezpečení, a to jak obecné založené na zabezpečení protokolu, tak i techniky proti konkrétním hrozbám. Protokol, na kterém aplikace běží, je jednou z nejdůležitějších složek bezpečnosti, proto je v práci podrobněji popsáno fungování protokolu HTTPS a jeho bezpečnostních vrstev. Dále je rozebrána oblast bezpečnosti e-learningu. Čtenář bude seznámen s bezpečnostními riziky, se kterými se může setkat při provozu open-source e-learningových řešení. Na závěr teoretické části jsou popsány základní principy bezpečnostního testování pomocí metodiky definované OWASP (Open Web Application Security Project). Praktická část práce se věnuje výsledkům testování bezpečnosti 3 vybraných open-source software systémů: Moodle, Dokeos a eFront. Testování bylo zaměřeno na hrozby popsané v teoretické části práce a využívá poznatky z příručky OWASP Testing Guide v3. U každého testovaného e-learningového systému jsou popsány jednotlivé testovací útoky, jejich výsledky a celkové bezpečnostní doporučení. V závěru praktické části je uvedeno celkové vyhodnocení testovaných systémů.
|
|
|
Hodnocení bezpečnosti PHP aplikace podle standardu OWASP ASVS
Sůva, Jakub ; Mészáros, Jan (vedoucí práce) ; Buchalcevová, Alena (oponent)
Cílem této bakalářské práce je prověření úrovně zabezpečení zvolené webové aplikace. Vodítkem pro ověřování je standard OWASP ASVS 2013 Beta, konkrétně jeho první úroveň požadavků. K dosažení cíle jsou použity poloautomatizované white box penetrační testy a interview. Práce se omezuje na testování PHP aplikací a je rozdělena na dvě stěžejní části, a to teoretickou a praktickou. Teoretická část se zaměřuje především na uvedení do problematiky penetračního testování webových aplikací obecně. Klíčovou částí je popis standardu OWASP ASVS 2013 Beta. V praktické části je proveden průzkum automatizovaných testovacích nástrojů. Následně je optimální z nich vybrán a použit k zefektivnění testů webové aplikace. Nejvíce prostoru je věnováno průběhu samotných testů. Výstupem práce je přehledný report s výsledky testů a jejich interpretace.
|
host ::
RSS.