|
|
Static Analysis for Discovering Security Vulnerabilities in Web Applications on the Asp.Net Platform
Říha, Jakub ; Lengál, Ondřej (oponent) ; Vojnar, Tomáš (vedoucí práce)
This Bachelor thesis is intended to describe theoretical foundations as well as the construction of a static taint analyser based on the .NET Framework and the analysis services provided by the .NET Compiler Platform. This analyser detects SQL injection security vulnerabilities on the ASP.NET MVC platform. Firstly, the analyser constructs control flow graphs as an abstract representation of the analysed program. Then, it uses a static taint analysis to track potentially distrusted and tainted data values. Finally, analysis results are presented to the user.
|
|
| |
|
|
Nástroj pro detekci zranitelnosti SQL Injection
Kutypa, Matouš ; Samek, Jan (oponent) ; Barabas, Maroš (vedoucí práce)
Bakalářská práce je zaměřena na problematiku bezpečnostní chyby SQL injection. V práci jsou popsány běžně používané postupy při útocích na informační systémy a jsou také probrány možnosti obrany včetně uvedení způsobů správné validace vstupů aplikace. Teoretická část práce obsahuje nezbytný základ, jaký by měl penetrační tester znát, aby byl schopen prověřit vstupy aplikace na odolnost proti útokům typu SQL injection. Součástí práce je analýza, návrh a implementace nástroje specializovaného na detekci obtížně zjistitelných zranitelností webové aplikace. Implementovaný nástroj byl otestován a porovnán s jinými běžně dostupnými nástroji. V rámci práce byla také vytvořena webová aplikace pro demonstraci různých variant zranitelných vstupů SQL injection.
|
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Zabezpečený přístup pro webové aplikace
Humpolík, Jan ; Pelka, Tomáš (oponent) ; Doležel, Radek (vedoucí práce)
Tato práce se zabývá zejména často zanedbávaných součástí zabezpečení každé webové aplikace, ale i bezpečným přístupem samotných uživatelů. Popisuje teoreticky i prakticky moderní techniky zabezpečení, na vytvořené webové aplikaci testuje a ukazuje možný způsob obrany. Dává návod na instalaci vlastního webového serveru.
|
|
|
Soubor laboratorních úloh k demonstraci počítačových útoků
Plašil, Matouš ; Ležák, Petr (oponent) ; Burda, Karel (vedoucí práce)
Diplomová práce popisuje publikované útoky na počítače a počítačové sítě. Je vysvětlen princip metod pro shomažďování informací o cíli, jako je zjišťování dostupnosti, detekce OS, skenování portů. Další část popisuje útoky na důvěrnost, autentičnost a dostupnost. V praktické části jsou vytvořeny čtyři laboratorní úlohy a virtuální prostředí, pomocí kterého je možné prakticky otestovat útoky jako je ARP spoofing, DNS spoofing, SSL strip, Cross-site scripting, SQL injection, záplavové útoky (TCP, ICMP, UDP), TCP reset a útok na operační systém s využitím backdooru pomocí frameworku Metasploit. V rámci praktické části byly také vytvořeny videoukázky a dokumentace pro vyučující.
|
|
|
Webová aplikace pro výuku simulací v ns2
Pavlosek, Václav ; Koutný, Martin (oponent) ; Šimek, Milan (vedoucí práce)
V této závěrečné zprávě jsou uvedeny informace k mojí diplomové práci „Webová aplikace pro výuku simulace v NS2“. Tato aplikace je po nainstalování funkční a její zdrojové kódy jsou uloženy na přiloženém CD. Je pojednáno o nástroji Network Simulator 2. Pomocí něj se realizují simulace sítí a o nich pak jejich autor vkládá údaje do webové aplikace. Zaregistrovaný návštěvník webu má možnost vložit do aplikace projekt. Projekt obsahuje informaci o jím vytvořené simulaci v NS2. Webová aplikace umožňuje také zobrazit si detail libovolného vloženého projektu, který je schválen administrátorem. Dále může řadit projekty, vyhledávat v nich zadaný výraz, či připojovat své příspěvky v diskusním fóru. Správce může ve svém okně projekty odevzdané uživatelem schvalovat, tím je zpřístupnit ostatním, a také je odstraňovat z databáze. Teorie o technologiích, které jsou využity při implementaci této aplikace. Jedná se o webový server Apache, databázový server MySQL, a jazyk PHP. Dále jsou zmíněny informace o zabezpečení webových aplikací včetně příkladů možných útoků na aplikace a jejich databáze. Je uveden návrh databáze, která tvoří jádro aplikace. Tento návrh je závislý na požadavcích na aplikaci. Další kapitoly dávají čtenáři ucelený obraz o funkčnosti aplikace, jsou uvedeny ukázky grafické podoby aplikace tak, jak je ve finálním stádiu implementována, a také ukázky zdrojových kódů pro vytváření databázových tabulek aplikace.
|
|
|
Nové technologie pro vývoj webových aplikací - Web 2.0
Medlín, Dušan ; Kacálek, Jan (oponent) ; Kyselý, František (vedoucí práce)
Náplní této diplomové práce je rozbor vývoje webových aplikací nazvaného Web 2.0. Definuje podmínky vzniku a popisuje technologie používané pro tvorbu těchto aplikací, jakými jsou značkovací jazyky HTML a XML, formátovací jazyk CSS, transformační jazyk XSLT a skriptovací jazyk JavaScript. Rozebírá bezpečnostní rizika a způsoby zabezpečení aplikace proti XSS útokům a SQL Injection. Dále se zabývá analýzou návrhu systému obsahujícího znaky trendu Web 2.0 a jeho praktickou realizací. Výsledkem je informační portál, který umožňuje všem registrovaným uživatelům sdílet s ostatními informace. Systém umožňuje přikládání souborů, vkládání mapy či videa.
|
|
|
Web application security
Matušek, Václav ; Palovský, Radomír (vedoucí práce) ; Pinkas, Otakar (oponent)
Bakalářská práce se věnuje problematice bezpečnosti webových aplikací. Jejím hlavním cílem je podat přehled nejčastějších útoků v praxi a zároveň popsat možnosti obrany a prevence, ať už na straně uživatele nebo vývojáře webové aplikace. Obsahuje také informace o jejich vzniku, případně připomíná útoky uskutečněné v minulosti. Následně se věnuje normám a zákonům české legislativy, které bezpečnost ovlivňují, případně definují vhodné techniky při programování. Důležitým výstupem je i souhrn pravidel, kterými by se měl programátor řídit při psaní bezpečné aplikace.
|
|
|
Bezpečnost webových aplikací (PHP)
Císař, Daniel ; Jeníčková, Kateřina (vedoucí práce) ; Vronková, Lada (oponent)
Práce pojednává o běžných bezpečnostních ohrožních webových aplikací, kterou jsem napsané v programovacím jazyce PHP. Nabízí přehled následujících útoků: XSS, CSRF, SQL injection, session stealing, session fixation. V práci je uvedeno, jak se těmto útokům vyvarovat či minimalizovat jejich riziko.
|
host ::
RSS.