|
|
Black-Box Analysis of Wi-Fi Stacks Security
Venger, Adam ; Orsák, Michal (oponent) ; Malinka, Kamil (vedoucí práce)
The devices on which we rely in our day-to-day lives use complicated protocols. One of the heavily used protocols is Wi-Fi. The growing complexity also increases the room for error during implementation. This thesis studies the Wi-Fi protocol and the use of fuzz testing to generate semi-valid frames, which could reveal vulnerabilities when sent to the tested device. Special attention was devoted to testing the Wi-Fi stack in the ESP32 and ESP32-2S systems. The output of the thesis is a fuzzer capable of testing any Wi-Fi device, a special ESP32 monitoring tool and a set of ESP32 test programs. The tools did not find any potential vulnerabilities.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu
Škrhák, Pavel ; Fujdiak, Radek (oponent) ; Holasová, Eva (vedoucí práce)
Cílem práce je popsat známé metody hodnocení zranitelností, a provést jejich implementaci do webové aplikace využívající framework Vue.js. Práce popisuje dva systémy hodnocení zranitelností, a to CVSS (Common Vulnerability Scoring System) a OWASP (Open Web Application Security Project) Risk Rating Methodology. Jsou popsány jejich části, metriky a metody samotného výpočtu hodnocení. Následně jsou tyto systémy porovnány a jsou určeny jejich silné a slabé stránky. Práce dále hodnotí některé známe zranitelnosti pomocí těchto dvou metod hodnocení. Práce dále popisuje návrh frontendu a backendu webové aplikace. Pro frontend je využit framework Vue.js, který umožňuje tvorbu dynamických jednostránkových webových aplikací. Jsou navrhnuty komponenty a rozložení aplikace. Dále je proveden návrh vzhledu frontednové aplikace a jejích komponentů. Backend byl navrhnut tak, aby vyhovoval frameworku Djnago, který spolu s frameworkem django REST framework slouží k rychlému vytváření API (Application Programming Interface) komunikujícího s databází. Byl navrhnut model pro ukládání dat z frontendové aplikace. Následně práce popisuje samotnou implementaci této aplikace rozdělenou na frontend a backend. V backendu je popsána implementace API a databáze. Je popsána implementace samotného modelu, serializátoru a metod pro komunikaci s frontendovou aplikací. Ve frontendu je vytvořen vue router, který slouží k dynamické změně obsahu stránky, a poté již samotné komponenty, které slouží jako stavební bloky aplikace. Tyto komponenty obsahují tři části, a to strukturu, kód JavaScriptu a CSS (Cascading Sytle Sheets). Komponenty si mohou předávat data a volat funkce jiných komponentů. Poslední částí práce je testování aplikace samotné. Je otestována její funkčnost pomocí výpočtu skóre již hodnocených zranitelností a některých bodů OWASP ASVS (Application Security Verification Standart). Dále je otestována bezpečnost pomocí testu několika známých zranitelností, společně s testováním pomocí OWASP ASVS.
|
|
|
Vývoj kalkulátoru pro hodnocení zranitelností
Ludes, Adam ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Bakalářská práce se věnuje nově představenému způsobu hodnocení zranitelností, jeho srovnání s nejčastěji používanou metodou Common Vulnerability Scoring System (CVSS), analýze frameworku Vue.js a ostatních technologií použitých při implementaci a samotné implementaci nástroje sloužícímu k představení možností nově navržené metody.
|
|
|
Vývoj aplikace demonstrující zranitelnosti mobilních aplikací
Šrůtková, Karolína ; Šilhavý, Pavel (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce se zaměřuje na vývoj mobilní aplikace pro operační systém Android, která slouží k demonstraci zranitelností mobilních aplikací. V teoretické části práce je rozebrána bezpečnost mobilních aplikací a její současný stav včetně popisu největších bezpečnostních rizik mobilních aplikací. Dále je v teoretické části zmíněn obecný vývoj mobilní aplikace pro systém Android. V praktické části je popsán vlastní návrh aplikace, do kterého se řadí analýza zranitelností, návrh základních bloků aplikace a výběr vhodných nástrojů pro implementaci. V části popisující implementaci aplikace je uvedena příprava prostředí, struktura vytvářené aplikace a především její samotná implementace. Poslední část obsahuje ukázku zranitelností aplikace a také výsledek jejího otestování.
|
|
|
Právní postavení nezletilých a dalších zranitelných žadatelů o mezinárodní ochranu
Edelmannová, Anna ; Pítrová, Lenka (vedoucí práce) ; Scheu, Harald Christian (oponent)
Osoby, které v Evropské unii žádají o mezinárodní ochranu, požívají práva, která jim přiznává právo EU, mezinárodní právo i vnitrostátní legislativa. Některým žadatelům o mezinárodní ochranu jsou ale přiznávána zvláštní práva a záruky, protože je jejich postavení v určitém ohledu oslabené. Tato diplomová práce analyzuje postavení zranitelných žadatelů o mezinárodní ochranu (resp. žadatelů se zvláštními potřebami) a větší pozornost věnuje nezletilým žadatelům o mezinárodní ochranu. Diplomová práce zkoumá především úpravu ve Společném evropském azylovém systému, pozornost je ale též věnována judikatuře Evropského soudu pro lidská práva, Úmluvě OSN o právech dítěte a dalším relevantním dokumentům mezinárodního práva. Na všechny žadatele o mezinárodní ochranu lze nahlížet jako na zranitelné. Evropský soud pro lidská práva ve své judikatuře žadatele o mezinárodní ochranu označil jako "zvláště neprivilegovanou a zranitelnou skupinu, která potřebuje speciální ochranu". Unijní úprava všechny žadatele o mezinárodní ochranu jako zranitelné explicitně nepopisuje, poskytuje jim ale určitý standard práv, čímž reflektuje jejich postavení. Nadto přijímací a procedurální směrnice vymezují žadatele zvláštními potřebami (resp. žadatele, kteří potřebují zvláštní procesní záruky a žadatele se zvláštními potřebami při...
|
|
|
Detection of Blueborne Revealed Vulnerability
Janček, Matej ; Malinka, Kamil (oponent) ; Hujňák, Ondřej (vedoucí práce)
This paper deals with the development of an automatic detection method detecting Blueborne vulnerabilities in Android devices. The result is a method that is invoking buffer overflow on the device. After that, the tool evaluates if it was successful and whether a device is vulnerable. The detection tool was validated with multiple devices, with various versions of the system. The testing of the detection method confirmed the functionality.
|
|
| |
|
| |
|
|
Security exercises for ethical hacking
Paučo, Daniel ; Lieskovan, Tomáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This master thesis deals with penetration testing and ethical hacking. Regarding to the layout of the thesis there was prepared appropiate enviroment to realize Red/Blue team exercise, where Red team is in a role of the attacker and Blue team is in a role of defender of the network infrastructure. Whole infrastructure is implemented in a cloud virtual enviroment of VMware vSphere. Second part of the thesis consists of preparation and creation of the exercise to test web application security. Third part of the thesis is dedicating to the automatization of redteaming. Main focus of this master thesis is to demonstrate different attack vectors how to attack the network infrastructure and web applications and use of the defense mechanisms to avoid this kinds of attacks.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
host ::
RSS.