|
|
Application that supports penetration tests of web applications
Holovová, Simona ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This master´s thesis is about the security of web applications and penetration testing. The main goal is to gain knowledge about testing methodologies OWASP Testing Guide and ASVS and to implement this knowledge into a web application to assist during manual penetration testing. The theoretical part of the thesis describes both methodologies and web technologies used during the development of the application. The practical part of the thesis is about the design of the application based on the specification, its implementation, and security hardening.
|
|
|
Návrh a tvorba proxy pro penetrační testování
Válka, Michal ; Bláha, Lukáš (oponent) ; Dydowicz, Petr (vedoucí práce)
Bakalářská práce se zaměřuje na návrh a vývoj proxy sloužící pro účely penetračního testování. Práce se dělí na tři hlavní části a začíná teoretickou částí rozebírající základní technologie a principy, na kterých aplikace staví. Druhá kapitola se zabývá analýzou současného stavu hodnotící aktuálně dostupné alternativy pro penetrační testy síťové komunikace. Z provedených analýz jsou vyvozeny požadavky na finální produkt, jehož návrh a vývoj je popsán v kapitole vlastního návrhu. V závěru práce je shrnuto vyvinuté řešení a jeho přínosy pro penetrační testování.
|
|
|
Security exercises for ethical hacking
Paučo, Daniel ; Lieskovan, Tomáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This master thesis deals with penetration testing and ethical hacking. Regarding to the layout of the thesis there was prepared appropiate enviroment to realize Red/Blue team exercise, where Red team is in a role of the attacker and Blue team is in a role of defender of the network infrastructure. Whole infrastructure is implemented in a cloud virtual enviroment of VMware vSphere. Second part of the thesis consists of preparation and creation of the exercise to test web application security. Third part of the thesis is dedicating to the automatization of redteaming. Main focus of this master thesis is to demonstrate different attack vectors how to attack the network infrastructure and web applications and use of the defense mechanisms to avoid this kinds of attacks.
|
|
|
Security Testing of Obfuscated Android Applications
Michalec, Pavol ; Dzurenda, Petr (oponent) ; Malina, Lukáš (vedoucí práce)
The Master´s Thesis is about the security testing of obfuscated Android applications. The theoretical part of the thesis describes the basic theory behind obfuscation and mentions several obfuscators. Impact of obfuscation on penetration testing is also mentioned. Dynamic analysis is proposed as the main tool of this thesis to bypass the obfuscation. The practical part of the thesis describes realtime application self-protection controls and a way to bypass them using dynamic analysis. The second section of the practical part is about advanced obfuscation techniques and their bypassing.
|
|
|
Web Application Penetration Testing Automation
Dušek, Daniel ; Polčák, Libor (oponent) ; Pluskal, Jan (vedoucí práce)
This work has two goals - to propose a generally applicable approach to web application penetration testing that is non-destructive to a target application, and to implement a tool that will follow it. The proposed approach has three phases. In the first phase, a tester gathers and adheres to the testing requirements (including the non-destructiveness), prepares a tool set and starts the reconnaissance. In the second phase, additional testing tools are used to process collected information and to verify vulnerabilities and provide conclusions. During the third phase, a final report is generated. The implemented tool is built as a collection of modules that are capable of the detection of reflected XSS, hidden query string parameters, resource enumeration and server misconfigurations detection. In comparison to Acunetix vulnerability scanner, the implemented tool performs just as well in the reflected XSS detection and outperforms the Acunetix in hidden resources enumeration. This work also brings a proof of concept implementation of a tool for Pastebin.com side-channel monitoring.
|
|
|
Návrh metodiky testování chytrých smart meterů se zaměřením na invazivní testování
Biolek, Martin ; Sikora, Marek (oponent) ; Lieskovan, Tomáš (vedoucí práce)
Bakalarska prace je zamerena na problematiku penetracniho testovani chytrych elektro- meru. V ramci teoreticke casti jsou popsany dostupne standardy, kterymi by se vyrobci chytreho elektromeru meli ridit. Nasleduje pak prakticka cast zamerena na testovani dvou systemu chytrych elektromeru a zjisteni jejich nedostatku. Vysledkem prace je kompromi- tace jednoho systemu, ktery potrebuje vyrazne vylepseni pro nasazeni do provozu v nove verzi. Popis nedostatku je zahrnut v prakticke casti prace.
|
|
|
Analýza bezpečnosti zařízení v chytré domácnosti
Grofčík, Peter ; Kmeť, Martin (oponent) ; Matoušek, Petr (vedoucí práce)
Hlavným cieľom mojej bakalárskej práce je prevedenie analýzy bezpečnosti zariadení inteligentnej domácnosti a následne otestovať a overiť zraniteľnosti odhalené na týchto zariadeniach. Prvá časť popisuje zariadenia zo sady MioSMART použité na analýzu vrátane spôsobov prístupu na ne. V ďalšej časti sa nachádza popis komunikácie zariadení pre ich funkcionalitu v rámci inteligentnej domácnosti, a to vrátane protokolov, ktoré na danú komunikáciu využívajú. V ďalšej kapitole sú použité voľne dostupné nástroje, za účelom odhalenia jednotlivých zraniteľných miest v komunikácii. Na základe týchto informácií boli prevedené útoky na najzávažnejšie odhalené zraniteľnosti, za účelom dokázania možnosti ich zneužitia na poškodenie funkcionality zariadení inteligentnej domácnosti. Časť tejto kapitoly je tiež venovaná popisu spôsobov monitorovania jednotlivých prvkov sady pre odhalenie prebiehajúcich útokov.
|
|
|
Security Analysis of Immersive Virtual Reality and Its Implications
Vondráček, Martin ; Ryšavý, Ondřej (oponent) ; Pluskal, Jan (vedoucí práce)
Immersive virtual reality is currently used not only for entertainment but also for work and social interaction where user's privacy and confidentiality of the information has a high priority. Unfortunately, security measures applied by software vendors are often not sufficient. This thesis delivers an extensive security analysis of a popular VR application Bigscreen which has more than 500,000 users. Techniques of network traffic analysis, penetration testing, reverse engineering, and even application crippling were utilised. Research led to a discovery of critical vulnerabilities directly exposing the privacy of the users and allowing the attacker to take full control of a victim's computer. Found security flaws allowed distribution of malware and creation of a botnet using a computer worm spreading in virtual environments. A novel VR cyber attack Man-in-the-Room was implemented. Furthermore, a security vulnerability in the Unity engine was discovered. Carried out responsible disclosure has helped to mitigate the risks for more than half a million Bigscreen users and all affected Unity applications worldwide.
|
|
|
Integrace nástrojů pro skenování zranitelností
Štangler, Jan ; Gerlich, Tomáš (oponent) ; Lieskovan, Tomáš (vedoucí práce)
Bakalářská práce je zaměřena na oblast penetračního testování, v níž má nabídnout komplexní nástroj pro automatizované skenování zranitelností vybranými nástroji. Popsány jsou základní techniky penetračních testů, webové zranitelnosti OWASP Top 10, příklady útoků na zranitelnosti a obrana proti nim. Důležitým bodem je seznam užitečných nástrojů při manuálních a poloautomatizovaných penetračních testech. Hlavním cílem je návrh architektury a implementace nástroje Vixen, který integruje vybrané nástroje pro penetrační testování.
|
|
|
Kybernetické útoky na operační systémy
Holasová, Eva ; Komosný, Dan (oponent) ; Člupek, Vlastimil (vedoucí práce)
Bakalářská práce je zaměřena na kybernetické útoky na operační systémy. V práci jsou rozebrány základní bezpečnostní funkce operačních systémů Windows, Linux a MacOS. Dále jsou popsány kybernetické útoky a jejich porovnání. Kapitola Malware popisuje nejběžnější škodlivý software. Následuje kapitola obecné ochrany proti kybernetickým útokům, kde je popsán antivirus, firewall a systémy IDS/IPS (Intrusion Detection System/Intrusion Prevention System). V neposlední řadě práce obsahuje kapitolu Etický hacking, kde je tento termín rozebrán a popsán. Kapitola pokračuje vybranými nástroji k provedení etického hackingu. V následující kapitole jsou popsány nástroje penetračního testování využívaných při jednotlivých fázích testování. Další kapitola obsahuje scénář etického hackingu na operační systém osobního počítače, serveru a webového serveru za použití penetračního testování. Práce je zakončena samotným provedením etického hackingu a jeho vyhodnocením. Cílem této bakalářské práce je shrnutí problematiky kybernetických útoků, metod a nástrojů jejichž cílem je narušení bezpečnosti systému, následně některé z těchto metod využít k etickému hackingu ve virtualizovaném prostředí.
|
host ::
RSS.