|
|
Laboratorní úloha seznamující studenty se síťovými útoky
Dostál, Adam ; Malina, Lukáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce je zaměřena na penetrační testování webových aplikací. Teoretická část popisuje tuto problematiku a metodologii. V práci je zahrnuta bezpečnostní organizace „The Open Web Application Security Project“ (OWASP), dokument OWASP Top 10 a prvních 5 zranitelností tohoto dokumentu. Poslední část uvádí linuxovou distribuci Kali Linux a několik nejpoužívanějších penetračních nástrojů. Praktickou část tvoří testování prvních pěti zranitelností z dokumentu OWASP Top 10 2013. Obsahuje popis použitého SW pro realizaci útoků, virtuální infrastruktury a test jednotlivých zranitelností. Z praktické části je vytvořena laboratorní úloha „Penetrační testování webových aplikací“ a dodatečná úvodní úloha „Úvod do problematiky penetračního testování“.
|
|
|
Pokyny pro bezpečné programování- React
Solich, Filip ; Firc, Anton (oponent) ; Malinka, Kamil (vedoucí práce)
Tato práce se zabývá psaním bezpečných aplikací v JavaScriptové knihovně React. Cílem této práce je vytvořit příručku pro programátory, aby s její pomocí byli schopni detekovat části webových aplikací, které mohou být zneužité k útoku na aplikaci. Je zde popsáno jak a na co je třeba si pří psaní webových aplikací dát pozor, jaké jsou nejlepší praktiky programování v knihovně React, díky kterým se programátor dokáže vyhnout bezpečnostním chybám v kódu aplikace a jak případné chyby opravit. Jsou zde popsány i samotné druhy útoků a jak mohou útoky na zranitelnou aplikaci probíhat. Znalost průběhu útoku pomůže programátorovi lépe přemýšlet o slabých článcích aplikace a tím také odhalit bezpečnostní problém v aplikaci dříve než útočník.
|
|
|
Security Testing of Obfuscated Android Applications
Michalec, Pavol ; Dzurenda, Petr (oponent) ; Malina, Lukáš (vedoucí práce)
The Master´s Thesis is about the security testing of obfuscated Android applications. The theoretical part of the thesis describes the basic theory behind obfuscation and mentions several obfuscators. Impact of obfuscation on penetration testing is also mentioned. Dynamic analysis is proposed as the main tool of this thesis to bypass the obfuscation. The practical part of the thesis describes realtime application self-protection controls and a way to bypass them using dynamic analysis. The second section of the practical part is about advanced obfuscation techniques and their bypassing.
|
|
|
Application that supports penetration tests of web applications
Holovová, Simona ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This master´s thesis is about the security of web applications and penetration testing. The main goal is to gain knowledge about testing methodologies OWASP Testing Guide and ASVS and to implement this knowledge into a web application to assist during manual penetration testing. The theoretical part of the thesis describes both methodologies and web technologies used during the development of the application. The practical part of the thesis is about the design of the application based on the specification, its implementation, and security hardening.
|
|
|
Bezpečnost služby Testing Farm
Havlín, Jan ; Malinka, Kamil (oponent) ; Drga, Jozef (vedoucí práce)
Práce se zabývá bezpečností služby Testing Farm ve firmě Red Hat. Konkrétně jde o možnost neoprávněného využití testovacích strojů k jiným účelům, než jsou určené. Potřeba pro implementaci bezpečnostního systému pramení z toho, že uživatelé této služby mohou na testovacích strojích spouštět libovolný kód jako uživatel root. V implementační části práce byl vytvořen monitorovací agent, kterého se podařilo nasadit na testovací stroje v produkčním prostředí služby. Tento systém sleduje přenášené síťové pakety, systémové zdroje a konfiguraci. Na základě těchto pozorování vytváří metriky o chování systému, které odesílá na monitorovací server Prometheus.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu
Škrhák, Pavel ; Fujdiak, Radek (oponent) ; Holasová, Eva (vedoucí práce)
Cílem práce je popsat známé metody hodnocení zranitelností, a provést jejich implementaci do webové aplikace využívající framework Vue.js. Práce popisuje dva systémy hodnocení zranitelností, a to CVSS (Common Vulnerability Scoring System) a OWASP (Open Web Application Security Project) Risk Rating Methodology. Jsou popsány jejich části, metriky a metody samotného výpočtu hodnocení. Následně jsou tyto systémy porovnány a jsou určeny jejich silné a slabé stránky. Práce dále hodnotí některé známe zranitelnosti pomocí těchto dvou metod hodnocení. Práce dále popisuje návrh frontendu a backendu webové aplikace. Pro frontend je využit framework Vue.js, který umožňuje tvorbu dynamických jednostránkových webových aplikací. Jsou navrhnuty komponenty a rozložení aplikace. Dále je proveden návrh vzhledu frontednové aplikace a jejích komponentů. Backend byl navrhnut tak, aby vyhovoval frameworku Djnago, který spolu s frameworkem django REST framework slouží k rychlému vytváření API (Application Programming Interface) komunikujícího s databází. Byl navrhnut model pro ukládání dat z frontendové aplikace. Následně práce popisuje samotnou implementaci této aplikace rozdělenou na frontend a backend. V backendu je popsána implementace API a databáze. Je popsána implementace samotného modelu, serializátoru a metod pro komunikaci s frontendovou aplikací. Ve frontendu je vytvořen vue router, který slouží k dynamické změně obsahu stránky, a poté již samotné komponenty, které slouží jako stavební bloky aplikace. Tyto komponenty obsahují tři části, a to strukturu, kód JavaScriptu a CSS (Cascading Sytle Sheets). Komponenty si mohou předávat data a volat funkce jiných komponentů. Poslední částí práce je testování aplikace samotné. Je otestována její funkčnost pomocí výpočtu skóre již hodnocených zranitelností a některých bodů OWASP ASVS (Application Security Verification Standart). Dále je otestována bezpečnost pomocí testu několika známých zranitelností, společně s testováním pomocí OWASP ASVS.
|
|
|
Penetrační testy a hardening webových aplikací
Markvart, Jakub
Tato bakalářská práce se zabývá deseti nejčastějšími útoky, zranitelnostmi a chybnými konfiguracemi webových aplikací dle OWASP a následnými demonstracemi těchto útoků. Jednotlivé ukázky zranitelností jsou prezentovány pomocí sestavené metodiky formou penetračního testu, který vyhodnotí a popíše nalezené problémy v připraveném testovacím prostředí. Poté, je proveden hardening, který zajistí nápravu, aby další test prošel již bez závažných chyb a zranitelností.
|
|
|
Tool for Automated Penetration Testing of Web Servers
Rajecký, Michal ; Holop, Patrik (oponent) ; Malinka, Kamil (vedoucí práce)
This thesis delves into the topic of cybersecurity, with an~ emphasis on the security of web servers. It covers the technologies that are employed to protect web servers from a variety of common security threats. Furthermore, this work explores the detection of these weaknesses using various penetration testing methodologies along with OWASTP Top 10. A framework for automatic testing of web servers is developed in the practical part of the thesis. This framework integrates features from several tools and provides support for user-defined modules. Lastly, its functionality is verified in a simulated environment.
|
|
|
Bezpečnost služby Testing Farm
Havlín, Jan ; Malinka, Kamil (oponent) ; Drga, Jozef (vedoucí práce)
Práce se zabývá bezpečností služby Testing Farm ve firmě Red Hat. Konkrétně jde o možnost neoprávněného využití testovacích strojů k jiným účelům, než jsou určené. Potřeba pro implementaci bezpečnostního systému pramení z toho, že uživatelé této služby mohou na testovacích strojích spouštět libovolný kód jako uživatel root. V implementační části práce byl vytvořen monitorovací agent, kterého se podařilo nasadit na testovací stroje v produkčním prostředí služby. Tento systém sleduje přenášené síťové pakety, systémové zdroje a konfiguraci. Na základě těchto pozorování vytváří metriky o chování systému, které odesílá na monitorovací server Prometheus.
|
|
|
Pokyny pro bezpečné programování- React
Solich, Filip ; Firc, Anton (oponent) ; Malinka, Kamil (vedoucí práce)
Tato práce se zabývá psaním bezpečných aplikací v JavaScriptové knihovně React. Cílem této práce je vytvořit příručku pro programátory, aby s její pomocí byli schopni detekovat části webových aplikací, které mohou být zneužité k útoku na aplikaci. Je zde popsáno jak a na co je třeba si pří psaní webových aplikací dát pozor, jaké jsou nejlepší praktiky programování v knihovně React, díky kterým se programátor dokáže vyhnout bezpečnostním chybám v kódu aplikace a jak případné chyby opravit. Jsou zde popsány i samotné druhy útoků a jak mohou útoky na zranitelnou aplikaci probíhat. Znalost průběhu útoku pomůže programátorovi lépe přemýšlet o slabých článcích aplikace a tím také odhalit bezpečnostní problém v aplikaci dříve než útočník.
|
host ::
RSS.