|
| |
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnost aplikace MCUXpresso Web
Mittaš, Tomáš ; Heriban, Pavel (oponent) ; Roupec, Jan (vedoucí práce)
Táto práca sa zaoberá testovaním bezpečnosti aplikácie MCUXpresso Web SDK Builder pomocou techník a nástrojov etického hackovania. Na začiatku práce je stručne spomenutá história etického hackovania a štruktúra webových aplikácií. Ďalej sa v práci rozoberá samotná aplikácia z pohľadu užívateľa, jej časti pred prihlásením a po prihlásení do aplikácie a fungovanie tejto aplikácie. Následne je popísaný zoznam najčastejších zraniteľností a slabín webových aplikácií pre pochopenie prípadných nájdených zraniteľností. Práca sa ďalej zaoberá technikami a nástrojmi bezpečnosti webových aplikácii a ich porovnaniu. Predposledná kapitola sa venuje použitiu techniky Analýza a hľadanie zraniteľností na aplikáciu MCUXpresso Web SDK Builder. Na záver je navrhnutý testovací plán bezpečnosti aplikácie, pričom časť tohto plánu je automatizovaná.
|
|
|
Software for seeking vulnerable computers in network
Krkoš, Radko ; Pelka, Tomáš (oponent) ; Polívka, Michal (vedoucí práce)
This thesis concerns about computer system and network infrastructure security. It describes the topic of security holes and vulnerabilities and discusses possibilities for computer attack defense. Common security holes and client and server systems configuration errors are described. There are stated simple rules and advices for configuring network environment according to security and minimalization of failure or violation risk due to security holes and vulnerabilities. Thesis adresses approaches of security hole detection in programs and devices entrusted to administrator, device and security holes inventory control and prevention possibilities. Thesis describes how to execute self security audit and how to process its results. It suggests techniques and methods to administer network, server, or intranet during its lifespan according to security. It also analyses existing available software and evaluates its features and resources with regard to security topic. Software is chosen to simplify work for administrator in some or more parts of security management like network condition analysis, error and vulnerability detection in computer systems, network infrastructure, web applications or applications for network alternation detection. Thesis recommends requirements for security audit application and discusses eligible features in regard of functionality and added value. Created set of scripts simplifies administrator's work by automating common and time consuming tasks and delivers information in compact and simple form, what makes the work more comfortable and shortens the reaction time to crises such as discovery of new security hole or security breach.
|
|
|
Prověření slabých míst v ochraně dat vybrané firmy
Strachová, Zuzana ; Vlastimil,, Svoboda (oponent) ; Sedlák, Petr (vedoucí práce)
Bakalářská práce se zabývá zhodnocením stavu bezpečnosti v oblasti ochrany dat dílčí části informačního systému zvolené komerční firmy menší velikosti. Ve své práci zkoumám stav zabezpečení a zavedená bezpečnostní opatření a snažím se odhalit reálné nebo potenciální zranitelnosti. Na základě analýzy provedené dotazováním, využitím metodiky asistovaného zhodnocení a metodou vyhledání zranitelností automatizovaným nástrojem, navrhuji vylepšení zabezpečení. Teoretická část bakalářské práce poskytuje úvod k tématu ochrany dat a vymezuje základní související pojmy.
|
|
|
Rozhodovací metody v managementu rizik
Janošík, Petr ; Chudý, Peter (oponent) ; Kreslíková, Jitka (vedoucí práce)
Tato diplomová práce se zabývá problematikou managamentu rizik v projektech IT. Vysvětluje důležitost řízení rizik v projektech a ukazuje možné postupy a metody, jak rizika řídit a analyzovat. Po vysvětlení základních pojmů a jednotlivých fází řízení rizik je práce zaměřena na dvě metody analýzy rizik, a to na analýzu stromu chyb a analýzu stromu událostí. Je zde vysvětlen postup použití obou metod jak pro kvantitativní, tak pro kvalitativní analýzu. V druhé polovině práce je uveden návrh aplikace pro podporu analýzy rizik za pomoci analýzy stromu chyb a stromu událostí, na který navazuje popis implementace navrženého systému ve webovém prostředí s využitím nástrojů jQuery, Nette Framework a Dibi.
|
|
|
Penetrační testování open-source software
Hrozek, Jakub ; Rogalewicz, Adam (oponent) ; Smrčka, Aleš (vedoucí práce)
Tato práce se zabývá návrhem a implementací integrovaného systému pro penetrační testování. První a druhá kapitola se zaměřují na na seznámení čtenáře s problematikou penetračního testování. Popisují základní techniky a rozdělení testů, zmiňuje některé nejčastěji používané metodiky a diskutuje potřebu penetrační testování pokud možno automatizovat. Pátá a šestá kapitola se zabývají specifikací a podrobným návrhem nástroje pro provádění penetračních testů. Implementace a problémy řešené během ní jsou předmětem sedmé kapi- toly. Poslední část práce popisuje praktické experimenty, provedené s vyvinutým programem a poskytuje některé rady, které mohou sloužit k bezpečnějšímu nastavení sítí.
|
|
|
Návrh zavedení ISMS ve veřejné správě
Štukhejl, Kamil ; Tomáš,, Krejčí (oponent) ; Sedlák, Petr (vedoucí práce)
Tato diplomová práce se zaměřuje na zavádění systému řízení bezpečnosti informací ve veřejné správě pomocí řady norem ISO/IEC 27000. Práce obsahuje teoretická východiska, představení organizace, dále analýzu rizik a návrh vhodných opatření pro minimalizaci těchto nalezených rizik. V závěru je navržen plán pro implementaci včetně ekonomického zhodnocení.
|
|
|
Vývoj aplikace demonstrující zranitelnosti mobilních aplikací
Šrůtková, Karolína ; Šilhavý, Pavel (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce se zaměřuje na vývoj mobilní aplikace pro operační systém Android, která slouží k demonstraci zranitelností mobilních aplikací. V teoretické části práce je rozebrána bezpečnost mobilních aplikací a její současný stav včetně popisu největších bezpečnostních rizik mobilních aplikací. Dále je v teoretické části zmíněn obecný vývoj mobilní aplikace pro systém Android. V praktické části je popsán vlastní návrh aplikace, do kterého se řadí analýza zranitelností, návrh základních bloků aplikace a výběr vhodných nástrojů pro implementaci. V části popisující implementaci aplikace je uvedena příprava prostředí, struktura vytvářené aplikace a především její samotná implementace. Poslední část obsahuje ukázku zranitelností aplikace a také výsledek jejího otestování.
|
|
|
Nástroj pro detekci zranitelnosti SQL Injection
Kutypa, Matouš ; Samek, Jan (oponent) ; Barabas, Maroš (vedoucí práce)
Bakalářská práce je zaměřena na problematiku bezpečnostní chyby SQL injection. V práci jsou popsány běžně používané postupy při útocích na informační systémy a jsou také probrány možnosti obrany včetně uvedení způsobů správné validace vstupů aplikace. Teoretická část práce obsahuje nezbytný základ, jaký by měl penetrační tester znát, aby byl schopen prověřit vstupy aplikace na odolnost proti útokům typu SQL injection. Součástí práce je analýza, návrh a implementace nástroje specializovaného na detekci obtížně zjistitelných zranitelností webové aplikace. Implementovaný nástroj byl otestován a porovnán s jinými běžně dostupnými nástroji. V rámci práce byla také vytvořena webová aplikace pro demonstraci různých variant zranitelných vstupů SQL injection.
|
host ::
RSS.