|
|
Security Analysis of Selected SOHO Router
Richtarik, Jakub ; Holop, Patrik (oponent) ; Tamaškovič, Marek (vedoucí práce)
Due to the increasing number of employees working from home office and the increasing number of IoT devices in our households, it is more important to use sufficiently secure routers than ever before. The aim of this study is to examine the level of security of the selected SOHO (small office/home office) routers, as representatives of currently sold home routers. The thesis also demonstrates a workflow and some methods that can be used for testing and analysis of other routers and IoT devices.
|
|
|
Vytvoření moderní webové aplikace
Fanta, Tomáš ; Sikora, Marek (oponent) ; Benedikt, Jan (vedoucí práce)
Tato bakalářská práce se zabývá návrhem a vývojem webové aplikace, která má umožnit uživateli lépe pochopit chování kritické infrastruktury. Práce se věnuje popisu moderních technologií, které byly při implementaci využity. Dále práce pojednává o bezpečnostních rizicích webových aplikací. Hlavním cílem je vytvořit zmíněnou webovou aplikaci a zabezpečit ji proti běžným zranitelnostem.
|
|
|
Security Analysis of Selected Android TV Box
Švenk, Adam ; Veigend, Petr (oponent) ; Tamaškovič, Marek (vedoucí práce)
The popularity of Android TV boxes has increased significantly in recent times. In addition to offering a wide range of functionality, the question of whether they are adequately secured is becoming increasingly pertinent. This thesis performs a comprehensive security analysis of selected Android TV boxes, covering both the hardware and software components. By examining the vulnerabilities present in the device, this thesis aims to identify potential risks to user privacy and security. Additionally, it proposes recommendations to mitigate these vulnerabilities.
|
|
|
Webová aplikace pro hodnocení nástrojů bezpečnostního testování
Moravec, Vojtěch ; Lieskovan, Tomáš (oponent) ; Ilgner, Petr (vedoucí práce)
Bakalářská práce se zabývá návrhem vývoje a implementací úmyslně zranitelného prostředí ve formě webové aplikace. Výsledná webová aplikace obsahuje zranitelnosti napříč všemi kategoriemi projektu OWASP Top 10, konkrétně poté jeho verze z roku 2021 a je skrze ni možné měřit a porovnávat automatizované nástroje pro penetrační testování stejně jako nástroje pro statickou bezpečnostní analýzu zdrojového kódu. Práce je rozčleněna do pěti kapitol ve kterých je na úvod popsána organizace OWASP Foundation pod jejíž záštitou projekt OWASP funguje, dále je popsána analýza vybraných úmyslně zranitelných webových aplikací. Další kapitoly se poté věnují návrhu vlastní úmyslně zranitelné webové aplikace, kde jsou mimo jiné popsány technologie použité při vývoji stejně jako všechny zranitelnosti v aplikaci obsažené. V závěru práce je poté provedeno testování výsledné zranitelné aplikace pomocí výše zmíněných nástrojů a shrnutí výsledků, kterých bylo dosaženo. Mimo již výše zmíněné testování a porovnávání automatizovaných nástrojů z oblasti penetračního testování a statické analýzy může být aplikace využita rovněž k výukovým účelům a to především díky přiloženým opravám a referencím, které jsou součástí každé zranitelnosti v aplikaci obsažené.
|
|
|
Laboratorní úlohy k zranitelnosti kompilovaných jazyků
Kluka, Peter Milan ; Štůsek, Martin (oponent) ; Sysel, Petr (vedoucí práce)
Táto diplomová práca sa venuje podrobnej analýze zraniteľností vo voľne šíriteľných programoch s otvoreným zdrojovým kódom. Súčasťou práce je popis rôznych typov zraniteľností, ktoré sú často spojené s útokmi na softvér. Detailne je preskúmané statické a dynamické testovanie kódu, ako aj nástroje používané na odhaľovanie zraniteľností v zdrojovom kóde. Práca obsahuje vytvorenie troch laboratórnych úloh vrátane podrobných návodov, ktoré demonštrujú dôsledky chybných implementácií. Laboratórne úlohy sú zamerané na zraniteľnosti typu pretečenie vyrovnávacej pamäte (buffer overflow), prechádzanie adresárov (path/directory traversal) a čítanie nad rámec vyrovnávacej pamäte (buffer over-read). V rámci každej laboratórnej úlohy je súčasťou ukážka chybného kódu, ktorý bol zodpovedný za danú zraniteľnosť a taktiež aj ukážka opraveného kódu, s ktorým sa podarilo danú zraniteľnosť odstrániť. Tieto úlohy poskytujú praktické príklady, ktoré ilustrujú riziká spojené s nevhodným návrhom a implementáciou softvéru a poukazujú na dôležitosť efektívnych bezpečnostných postupov pri softvérovom vývoji.
|
|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnost aplikace MCUXpresso Web
Mittaš, Tomáš ; Heriban, Pavel (oponent) ; Roupec, Jan (vedoucí práce)
Táto práca sa zaoberá testovaním bezpečnosti aplikácie MCUXpresso Web SDK Builder pomocou techník a nástrojov etického hackovania. Na začiatku práce je stručne spomenutá história etického hackovania a štruktúra webových aplikácií. Ďalej sa v práci rozoberá samotná aplikácia z pohľadu užívateľa, jej časti pred prihlásením a po prihlásení do aplikácie a fungovanie tejto aplikácie. Následne je popísaný zoznam najčastejších zraniteľností a slabín webových aplikácií pre pochopenie prípadných nájdených zraniteľností. Práca sa ďalej zaoberá technikami a nástrojmi bezpečnosti webových aplikácii a ich porovnaniu. Predposledná kapitola sa venuje použitiu techniky Analýza a hľadanie zraniteľností na aplikáciu MCUXpresso Web SDK Builder. Na záver je navrhnutý testovací plán bezpečnosti aplikácie, pričom časť tohto plánu je automatizovaná.
|
|
|
Specifické moduly pro podporu manuálního bezpečnostního testování
Osmani, Jakub ; Safonov, Yehor (oponent) ; Paučo, Daniel (vedoucí práce)
Tato bakalářská práce se zabývá penetračním testováním a s touto činností spojenými standardy. Hlavním cílem teoretické části je objasnit svět penetračních testů a nejznámější dokumentace organizace OWASP. Popsány jsou zranitelnosti ze seznamu top deseti zranitelností a metodiky pro bezpečnější aplikace, zvané Application Security Verification Standard (ASVS). V praktické části je práce zaměřena na tvorbu tří nástrojů sloužících k automatizaci jistých aspektů penetračních testů.
|
|
|
Webová aplikace pro testování zranitelností webového serveru
Šnajdr, Václav ; Burda, Karel (oponent) ; Smékal, David (vedoucí práce)
Diplomová práce se zabývá návrhem a implementaci webové aplikace pro testování bezpečnosti SSL/TLS protokolů na vzdáleném serveru. Webová aplikace je vyvíjena ve frameworku Nette. V teoretické části jsou popsány SSL/TLS protokoly, zranitelnosti, doporučení a použité technologie v praktické části. Praktická část se věnuje tvorbě webové aplikace s procesem použití automatických skriptů pro testování a zobrazení výsledků na webové stránce s hodnocením A+ až C. Webová aplikace zároveň zobrazí seznam detekovaných zranitelností a jejich doporučení.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
host ::
RSS.