|
|
Laboratorní úlohy k zranitelnosti kompilovaných jazyků
Kluka, Peter Milan ; Štůsek, Martin (oponent) ; Sysel, Petr (vedoucí práce)
Táto diplomová práca sa venuje podrobnej analýze zraniteľností vo voľne šíriteľných programoch s otvoreným zdrojovým kódom. Súčasťou práce je popis rôznych typov zraniteľností, ktoré sú často spojené s útokmi na softvér. Detailne je preskúmané statické a dynamické testovanie kódu, ako aj nástroje používané na odhaľovanie zraniteľností v zdrojovom kóde. Práca obsahuje vytvorenie troch laboratórnych úloh vrátane podrobných návodov, ktoré demonštrujú dôsledky chybných implementácií. Laboratórne úlohy sú zamerané na zraniteľnosti typu pretečenie vyrovnávacej pamäte (buffer overflow), prechádzanie adresárov (path/directory traversal) a čítanie nad rámec vyrovnávacej pamäte (buffer over-read). V rámci každej laboratórnej úlohy je súčasťou ukážka chybného kódu, ktorý bol zodpovedný za danú zraniteľnosť a taktiež aj ukážka opraveného kódu, s ktorým sa podarilo danú zraniteľnosť odstrániť. Tieto úlohy poskytujú praktické príklady, ktoré ilustrujú riziká spojené s nevhodným návrhom a implementáciou softvéru a poukazujú na dôležitosť efektívnych bezpečnostných postupov pri softvérovom vývoji.
|
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnost aplikace MCUXpresso Web
Mittaš, Tomáš ; Heriban, Pavel (oponent) ; Roupec, Jan (vedoucí práce)
Táto práca sa zaoberá testovaním bezpečnosti aplikácie MCUXpresso Web SDK Builder pomocou techník a nástrojov etického hackovania. Na začiatku práce je stručne spomenutá história etického hackovania a štruktúra webových aplikácií. Ďalej sa v práci rozoberá samotná aplikácia z pohľadu užívateľa, jej časti pred prihlásením a po prihlásení do aplikácie a fungovanie tejto aplikácie. Následne je popísaný zoznam najčastejších zraniteľností a slabín webových aplikácií pre pochopenie prípadných nájdených zraniteľností. Práca sa ďalej zaoberá technikami a nástrojmi bezpečnosti webových aplikácii a ich porovnaniu. Predposledná kapitola sa venuje použitiu techniky Analýza a hľadanie zraniteľností na aplikáciu MCUXpresso Web SDK Builder. Na záver je navrhnutý testovací plán bezpečnosti aplikácie, pričom časť tohto plánu je automatizovaná.
|
|
|
Prověření slabých míst v ochraně dat vybrané firmy
Strachová, Zuzana ; Vlastimil,, Svoboda (oponent) ; Sedlák, Petr (vedoucí práce)
Bakalářská práce se zabývá zhodnocením stavu bezpečnosti v oblasti ochrany dat dílčí části informačního systému zvolené komerční firmy menší velikosti. Ve své práci zkoumám stav zabezpečení a zavedená bezpečnostní opatření a snažím se odhalit reálné nebo potenciální zranitelnosti. Na základě analýzy provedené dotazováním, využitím metodiky asistovaného zhodnocení a metodou vyhledání zranitelností automatizovaným nástrojem, navrhuji vylepšení zabezpečení. Teoretická část bakalářské práce poskytuje úvod k tématu ochrany dat a vymezuje základní související pojmy.
|
|
|
Rozhodovací metody v managementu rizik
Janošík, Petr ; Chudý, Peter (oponent) ; Kreslíková, Jitka (vedoucí práce)
Tato diplomová práce se zabývá problematikou managamentu rizik v projektech IT. Vysvětluje důležitost řízení rizik v projektech a ukazuje možné postupy a metody, jak rizika řídit a analyzovat. Po vysvětlení základních pojmů a jednotlivých fází řízení rizik je práce zaměřena na dvě metody analýzy rizik, a to na analýzu stromu chyb a analýzu stromu událostí. Je zde vysvětlen postup použití obou metod jak pro kvantitativní, tak pro kvalitativní analýzu. V druhé polovině práce je uveden návrh aplikace pro podporu analýzy rizik za pomoci analýzy stromu chyb a stromu událostí, na který navazuje popis implementace navrženého systému ve webovém prostředí s využitím nástrojů jQuery, Nette Framework a Dibi.
|
|
|
Penetrační testování open-source software
Hrozek, Jakub ; Rogalewicz, Adam (oponent) ; Smrčka, Aleš (vedoucí práce)
Tato práce se zabývá návrhem a implementací integrovaného systému pro penetrační testování. První a druhá kapitola se zaměřují na na seznámení čtenáře s problematikou penetračního testování. Popisují základní techniky a rozdělení testů, zmiňuje některé nejčastěji používané metodiky a diskutuje potřebu penetrační testování pokud možno automatizovat. Pátá a šestá kapitola se zabývají specifikací a podrobným návrhem nástroje pro provádění penetračních testů. Implementace a problémy řešené během ní jsou předmětem sedmé kapi- toly. Poslední část práce popisuje praktické experimenty, provedené s vyvinutým programem a poskytuje některé rady, které mohou sloužit k bezpečnějšímu nastavení sítí.
|
|
|
Návrh zavedení ISMS ve veřejné správě
Štukhejl, Kamil ; Tomáš,, Krejčí (oponent) ; Sedlák, Petr (vedoucí práce)
Tato diplomová práce se zaměřuje na zavádění systému řízení bezpečnosti informací ve veřejné správě pomocí řady norem ISO/IEC 27000. Práce obsahuje teoretická východiska, představení organizace, dále analýzu rizik a návrh vhodných opatření pro minimalizaci těchto nalezených rizik. V závěru je navržen plán pro implementaci včetně ekonomického zhodnocení.
|
|
|
Vývoj aplikace demonstrující zranitelnosti mobilních aplikací
Šrůtková, Karolína ; Šilhavý, Pavel (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce se zaměřuje na vývoj mobilní aplikace pro operační systém Android, která slouží k demonstraci zranitelností mobilních aplikací. V teoretické části práce je rozebrána bezpečnost mobilních aplikací a její současný stav včetně popisu největších bezpečnostních rizik mobilních aplikací. Dále je v teoretické části zmíněn obecný vývoj mobilní aplikace pro systém Android. V praktické části je popsán vlastní návrh aplikace, do kterého se řadí analýza zranitelností, návrh základních bloků aplikace a výběr vhodných nástrojů pro implementaci. V části popisující implementaci aplikace je uvedena příprava prostředí, struktura vytvářené aplikace a především její samotná implementace. Poslední část obsahuje ukázku zranitelností aplikace a také výsledek jejího otestování.
|
|
|
Nástroj pro detekci zranitelnosti SQL Injection
Kutypa, Matouš ; Samek, Jan (oponent) ; Barabas, Maroš (vedoucí práce)
Bakalářská práce je zaměřena na problematiku bezpečnostní chyby SQL injection. V práci jsou popsány běžně používané postupy při útocích na informační systémy a jsou také probrány možnosti obrany včetně uvedení způsobů správné validace vstupů aplikace. Teoretická část práce obsahuje nezbytný základ, jaký by měl penetrační tester znát, aby byl schopen prověřit vstupy aplikace na odolnost proti útokům typu SQL injection. Součástí práce je analýza, návrh a implementace nástroje specializovaného na detekci obtížně zjistitelných zranitelností webové aplikace. Implementovaný nástroj byl otestován a porovnán s jinými běžně dostupnými nástroji. V rámci práce byla také vytvořena webová aplikace pro demonstraci různých variant zranitelných vstupů SQL injection.
|
|
|
Zavedení managementu bezpečnosti informací v podniku dle ISO 27001
Šumbera, Adam ; Vala, Zdeněk (oponent) ; Sedlák, Petr (vedoucí práce)
Diplomová práce se zabývá tématem zavádění systému řízení bezpečnosti informací v podniku. Teoretická část práce shrnuje teoretické poznatky z oblasti bezpečnosti informací a popisuje sadu norem ČSN ISO/IEC 27000. V další části je provedena analýza společnosti, na kterou jsou poté v praktické části práce aplikovány teoretické poznatky při zavádění systému bezpečnosti informací.
|
host ::
RSS.