|
|
Bezpečnostní audit firewallu
Krajíček, Jiří ; Pelka, Tomáš (oponent) ; Pust, Radim (vedoucí práce)
Cílem této diplomové práce je bezpečnostní audit firewallu. Základními úkoly je seznámit s principy nástrojů umožňující audit, vytvořit metodiku auditu a poté podle vytvořené metodiky provést bezpečnostní audit vybraných firewallů. Teoretická část dokumentu pojednává obecně o firewallech a možnostech zapojení do síťové infrastruktury. Dále o auditu a principech nástrojů k provedení auditu. Následující praktická část se pak zabývá vytvořením metodiky včetně penetračního testování. Pomocí vytvořených metodik a procedur je poté proveden audit linuxového firewallu a firewallu Microsoft ISA 2006. Součástí každého auditu je na závěr proveden návrh změn konfigurací vedoucích k zabezpečení bezpečnostních nedostatků.
|
|
|
Vývoj nástroje na automatizované penetrační testování webových aplikací
Kiezler, Tomáš ; Hradil, Jiří (vedoucí práce) ; Pavlíček, Luboš (oponent)
Tato práce se zabývá bezpečností webových aplikací, která může být měřena výsledky penetračního testování. V teoretické části jsou popsány jednotlivé metody, kterými je možné testování provádět, předloženy výhody a nevýhody oproti manuálnímu testování a zhodnoceny nástroje, které mají integrováno automatické skenování zabezpečení webových aplikací. Součástí jsou též statistiky výskytu rizik v prostředí českého internetu. V praktické části je popsán vývoj vlastního nástroje na automatizované testování v nejběžněji se vyskytujícím programovacím jazyce v oblasti webových aplikací, který bude schopen odhalovat nejčastěji se vyskytující slabiny. Nástroj je vyvíjen na poukázání možností, jak daná rizika odhalovat a zdali je to vůbec automatizovaně možné. Práce má za úkol vzdělat čtenáře v oblasti bezpečnosti webových stránek, objasnit legálnost penetračního testování a seznámit ho s možnostmi, jak najít a řešit bezpečnostní rizika a jak se jich při vývoji vyvarovat.
|
|
|
Aplikace pro sdílení znalostí a jejich bezpečnost
Kůrka, Jan ; Veber, Jaromír (vedoucí práce) ; Luc, Ladislav (oponent)
Cílem této bakalářské práce je popsat problematiku zabezpečení webových aplikací pro sdílení znalostí. V teoretické části práce jsou vymezeny základní pojmy související s touto oblastí a dále jsou popsány typy testů, kterými lze ověřit bezpečnost aplikace. Následuje představení nadace OWASP a jejich vývojářských a dokumentačních projektů. Podrobněji popsán je pak projekt OWASP Top Ten 2013, informující o deseti nejkritičtějších bezpečnostních hrozbách pro webové aplikace. Závěrem teoretické části jsou představeny aplikace pro sdílení znalostí a jejich nejznámější open-source zástupci. Praktická část práce je věnována penetračnímu testování tří nejpoužívanějších wiki aplikací. Je zde představena konkrétní metodika testování včetně postupu a dále výsledky samotných testů. Výsledky jsou okomentovány a podrobněji vysvětleny a je zhodnoceno celkové zabezpečení každé aplikace. Přínosem této bakalářské práce je ověření zabezpečení u v současnosti nejpoužívanějších aplikací pro sdílení znalostí a nalezení jejich zranitelných míst. Výsledky testů spolu s nalezenými nedostatky budou odeslány vývojářům těchto aplikací.
|
|
|
Nástroje pro hodnocení zranitelností
Charvát, Michal ; Veber, Jaromír (vedoucí práce) ; Klíma, Tomáš (oponent)
Tato bakalářská práce se zabývá oblastí bezpečnosti informačních systémů, s názvem hodnocení zranitelností. Hodnocení zranitelností se provádí speciálními nástroji, které se nazývají skenery zranitelností. V této práci nejdříve teoreticky představím oblast bezpečnosti informačních systémů a její historii, základní pojmy hodnocení zranitelností a souvisejících témat, jako je například penetrační testování. Následně bude provedeno několik skenování za použití vybraných volně dostupných nástrojů a analýza jejich výsledků. Hlavním kritériem bude počet a závažnost nalezených zranitelností, ale v neposlední řadě bude porovnána i poměrně subjektivní oblast uživatelské přívětivosti.
|
|
|
Obrana proti útokům sociálního inženýrství
Škopec, Antonín ; Sigmund, Tomáš (vedoucí práce) ; Šimek, Luděk (oponent)
Tato diplomová práce se zabývá problematikou sociálního inženýrství a obrany proti němu. Útoky sociálního inženýrství představují výraznou hrozbu pro organizace a jejich informační systémy, jelikož jejich cílem je nejslabší článek zabezpečení každého informačního systému - uživatel. Útočník tak může snadno obejít i velice sofistikované technické zabezpečení systému. Tato práce se zaobírá otázkou, jak efektivně zabezpečit lidský prvek informačního systému.
|
|
|
Testování zabezpečení e-commerce aplikací
Trnka, Karel ; Veber, Jaromír (vedoucí práce) ; Klíma, Tomáš (oponent)
Cílem této bakalářské práce je popsat koncept testování zabezpečení e-commerce aplikací. První část je věnována teoretické rovině. Jsou zde definovány základní pojmy spojené s danou problematikou; následuje objasnění možností penetračních testů a v závěru první části této bakalářské práce je představen projekt OWASP (Otevřený projekt bezpečnosti webových aplikací) a též dílčí dokumentační projekt "OWASP Top Ten", který zobrazuje deset nejkritičtějších bezpečnostních rizik webových aplikací. Druhá část této práce je věnována praktickým penetračním testům třech vybraných e-commerce produktů. Jsou zde objasněny cíle, postup, ale i metodika provedených testů, která podléhá standardům projektu OWASP. Výsledný report je v následující kapitole zdokumentován, a to včetně návrhů na redukci zjištěných zranitelností. Přínos této bakalářské práce spočívá v nalezení zranitelných míst u vybraných e-commerce produktů. Výsledný report bude dále odeslán vývojařům těchto aplikací společně s návrhy na řešení objevených problémů.
|
|
|
Testování bezdrátové sítě Eduroam na VŠE v Praze
Tomandl, Zdeněk ; Pavlíčková, Jarmila (vedoucí práce) ; Klíma, Tomáš (oponent)
Tato bakalářská práce je zaměřena na testování bezpečnosti bezdrátových sítí, konkrétně na testování bezpečnosti bezdrátové sítě Eduroam na Vysoké škole ekonomické v Praze. Hlavním cílem práce je otestovat bezpečnost bezdrátové sítě Eduroam podle metodiky WIPE, a to až do úplného prolomení zabezpečení. Práce je rozdělena na teoretickou a praktickou část. Teoretická část vymezuje penetrační testování, typy testů a metodiky ISSAF, OSSTMM a dále přibližuje kroky 1 -- 4 metodiky WIPE doplněné o další informace z odborné literatury a jiných zdrojů. Praktická část popisuje test bezpečnosti bezdrátové sítě Eduroam, který je ukončený pokusem o prolomení jejího zabezpečení. Přínosem této práce je kromě testu bezdrátové sítě průzkum nastavení parametrů bezdrátového připojení na studentských zařízeních. Po přečtení této bakalářské práce by měl mít čtenář povědomí o penetračních testech, existujících typech zabezpečení a o možnostech provedení penetračního testu bezdrátové sítě.
|
|
|
Aplikace e-learningu a bezpečnost dat
Menčík, Jan ; Veber, Jaromír (vedoucí práce) ; Čermák, Radim (oponent)
V této bakalářské práci je řešeno téma bezpečnostních hrozeb pro webové aplikace s praktickou částí vyhodnocení zabezpečení vybraných e-learningových aplikací. Jsou zde popsány nejčastější současné hrozby pro webové aplikace, techniky útoků a techniky zabezpečení. Prostředí webu dalo vzniknout celé škále technik narušení bezpečnosti webových aplikací. První část práce je věnována především nejčastějším hrozbám a útokům. V další části práce jsou představeny techniky zabezpečení, a to jak obecné založené na zabezpečení protokolu, tak i techniky proti konkrétním hrozbám. Protokol, na kterém aplikace běží, je jednou z nejdůležitějších složek bezpečnosti, proto je v práci podrobněji popsáno fungování protokolu HTTPS a jeho bezpečnostních vrstev. Dále je rozebrána oblast bezpečnosti e-learningu. Čtenář bude seznámen s bezpečnostními riziky, se kterými se může setkat při provozu open-source e-learningových řešení. Na závěr teoretické části jsou popsány základní principy bezpečnostního testování pomocí metodiky definované OWASP (Open Web Application Security Project). Praktická část práce se věnuje výsledkům testování bezpečnosti 3 vybraných open-source software systémů: Moodle, Dokeos a eFront. Testování bylo zaměřeno na hrozby popsané v teoretické části práce a využívá poznatky z příručky OWASP Testing Guide v3. U každého testovaného e-learningového systému jsou popsány jednotlivé testovací útoky, jejich výsledky a celkové bezpečnostní doporučení. V závěru praktické části je uvedeno celkové vyhodnocení testovaných systémů.
|
|
|
Hodnocení bezpečnosti PHP aplikace podle standardu OWASP ASVS
Sůva, Jakub ; Mészáros, Jan (vedoucí práce) ; Buchalcevová, Alena (oponent)
Cílem této bakalářské práce je prověření úrovně zabezpečení zvolené webové aplikace. Vodítkem pro ověřování je standard OWASP ASVS 2013 Beta, konkrétně jeho první úroveň požadavků. K dosažení cíle jsou použity poloautomatizované white box penetrační testy a interview. Práce se omezuje na testování PHP aplikací a je rozdělena na dvě stěžejní části, a to teoretickou a praktickou. Teoretická část se zaměřuje především na uvedení do problematiky penetračního testování webových aplikací obecně. Klíčovou částí je popis standardu OWASP ASVS 2013 Beta. V praktické části je proveden průzkum automatizovaných testovacích nástrojů. Následně je optimální z nich vybrán a použit k zefektivnění testů webové aplikace. Nejvíce prostoru je věnováno průběhu samotných testů. Výstupem práce je přehledný report s výsledky testů a jejich interpretace.
|
|
|
Testování bezpečnosti webových aplikací
Bukovský, Ondřej ; Pavlíček, Luboš (vedoucí práce) ; Mészáros, Jan (oponent)
Tato práce si klade za cíl zdokumentovat nasazení nástrojů pro testování bezpečnosti we-bových aplikací. Součástí práce je vymezení nejčastějších zranitelností, otestování nástrojů pro detekci těchto zranitelností a výběr nástroje, případně kombinace nástrojů, vhodných pro realizaci opakovaného automatického bezpečnostního testování. Dalším cílem práce je začlenění bezpečnostního testování do životního cyklu vývoje webové aplikace. Přínosem by pak mělo být usnadnění práce s testováním bezpečnosti webových aplikací jednotliv-cům, nebo malým týmům.
|
host ::
RSS.