Original title:
Nástroj pro penetrační testování aplikačního serveru
Translated title:
Tools for application server penetration testing
Authors:
Vašíček, Tomáš ; Šeda, Pavel (referee) ; Martinásek, Zdeněk (advisor) Document type: Master’s theses
Year:
2024
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií Abstract:
[cze][eng]
Tato diplomová práce se zabývá problematikou penetračního testování aplikačních protokolů. V rámci práce jsou představeny aplikační protokoly FTP, SSH, SMTP, POP3 a IMAP a jsou prozkoumány jejich možné zranitelnosti. Informace o zranitelnostech jsou získávány z veřejně dostupných sbírek typu HackTricks a The Hacker Recipes, ale rovněž vlastním studiem RFC dokumentů jednotlivých protokolů. Na základě nalezených zranitelností jsou sestrojeny kontrolní seznamy sloužící pro návodné provedení penetračního testera procesem testování daného protokolu. Hlavním přínosem práce je vývoj modulárního automatizovaného nástroje ptapptest a dalšího pomocného nástroje ptntlmauth, které slouží pro penetrační testování zmíněných aplikačních protokolů. Závěrem práce je provedeno testování nástroje ptapptest na reálných aplikačních serverech, které byly nalezeny pomocí vyhledávače Shodan.
This thesis explores the field of penetration testing of application protocols. The thesis introduces the application protocols FTP, SSH, SMTP, POP3 and IMAP and explores their possible vulnerabilities. Information about vulnerabilities is obtained from publicly available collections such as HackTricks and The Hacker Recipes, but also by studying the RFC documents of each protocol. Based on the vulnerabilities found, penetration testing checklists are constructed to provide guidance through the process of testing a given protocol. The main contribution of the work is the development of a modular automated tool ptapptest and another auxiliary tool ptntlmauth, which are used for penetration testing of the mentioned application protocols. Finally, the thesis concludes by testing the ptapptest tool on application servers discovered using the Shodan search engine.
Keywords:
application protocol; FTP; IMAP; penetration testing; Penterep; POP3; ptapptest; ptntlmauth; Python; SMTP; SSH; aplikační protokol; FTP; IMAP; penetrační testování; Penterep; POP3; ptapptest; ptntlmauth; Python; SMTP; SSH
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: https://hdl.handle.net/11012/246115