Original title: Webová aplikace pro hodnocení nástrojů bezpečnostního testování
Translated title: Web Application for Evaluation of Security Testing Tools
Authors: Moravec, Vojtěch ; Lieskovan, Tomáš (referee) ; Ilgner, Petr (advisor)
Document type: Bachelor's theses
Year: 2024
Language: cze
Publisher: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract: [cze] [eng]
Bakalářská práce se zabývá návrhem vývoje a implementací úmyslně zranitelného prostředí ve formě webové aplikace. Výsledná webová aplikace obsahuje zranitelnosti napříč všemi kategoriemi projektu OWASP Top 10, konkrétně poté jeho verze z roku 2021 a je skrze ni možné měřit a porovnávat automatizované nástroje pro penetrační testování stejně jako nástroje pro statickou bezpečnostní analýzu zdrojového kódu. Práce je rozčleněna do pěti kapitol ve kterých je na úvod popsána organizace OWASP Foundation pod jejíž záštitou projekt OWASP funguje, dále je popsána analýza vybraných úmyslně zranitelných webových aplikací. Další kapitoly se poté věnují návrhu vlastní úmyslně zranitelné webové aplikace, kde jsou mimo jiné popsány technologie použité při vývoji stejně jako všechny zranitelnosti v aplikaci obsažené. V závěru práce je poté provedeno testování výsledné zranitelné aplikace pomocí výše zmíněných nástrojů a shrnutí výsledků, kterých bylo dosaženo. Mimo již výše zmíněné testování a porovnávání automatizovaných nástrojů z oblasti penetračního testování a statické analýzy může být aplikace využita rovněž k výukovým účelům a to především díky přiloženým opravám a referencím, které jsou součástí každé zranitelnosti v aplikaci obsažené. The bachelor thesis focuses on the design, development, and implementation of an intentionally vulnerable environment in the form of a web application. The resulting web application encompasses vulnerabilities across categories outlined in the OWASP Top 10 project, specifically following its 2021 version. Through this application, it is possible to assess and compare automated tools for penetration testing, as well as tools for static code security analysis. The thesis is divided into five chapters. In the introduction, the OWASP Foundation, which oversees the OWASP project, is described. The analysis of selected intentionally vulnerable web applications is then presented. Subsequent chapters delve into the design of the custom intentionally vulnerable web application, detailing the technologies used in its development and outlining all vulnerabilities present in the application. In the conclusion of the thesis, testing of the resulting vulnerable application is conducted using the aforementioned tools, and a summary of the achieved results is provided. Apart from the aforementioned testing and comparison of automated tools in the fields of penetration testing and static analysis, the application can also be utilized for educational purposes. This is primarily facilitated by the attached fixes and explanations, which accompany each vulnerability within the application.
Keywords: Docker; Flask; Information security; MVC; OWASP; PostgreSQL; Python; Vulnerability.; Web application; Web application security; Bezpečnost webových aplikací; Docker; Flask; Informační bezpečnost; MVC; OWASP; PostgreSQL; Python; Webová aplikace; Zranitelnost.

Institution: Brno University of Technology (web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library.
Original record: https://hdl.handle.net/11012/246488

Permalink: http://www.nusl.cz/ntk/nusl-617683


The record appears in these collections:
Universities and colleges > Public universities > Brno University of Technology
Academic theses (ETDs) > Bachelor's theses