|
|
Specific modules for manual security testing support
Osmani, Jakub ; Safonov, Yehor (referee) ; Paučo, Daniel (advisor)
This bachelor thesis deals with the concept of penetration testing and the standards that coincide with it. The main aim of the theoretical part of this thesis is to describe the world of penetration testing, and the widely known OWASP documentation. Vulnerabilities from the top 10 vulnerabilities list as well as recommendations about secure web application development, from the Application Security Verification Standard (ASVS), are provided. The practical part of this thesis is focused on the development of three tools, that are to be used to help automate certain aspects of penetration testing.
|
|
|
Advanced proxy for penetration testing
Válka, Michal ; Vilém,, Šlesinger (referee) ; Sedlák, Petr (advisor)
This master’s thesis focuses on improving the open-source proxy tool for penetration testing of thick clients. The thesis is divided into three main chapters, the first of which is focused on the theoretical background on which the thesis is based. The second chapter describes the analysis of the current state and defines user requirements, which must be met. The third chapter deals with increasing the quality and expanding the functionality based on user requirements. At the same time, a testing methodology is created and a vulnerable application is developed as a teaching material for the methodology. The chapter concludes with a summary of the economic costs and benefits of the application for the penetration testing process.
|
|
|
Laboratory exercise that presents network attacks
Dostál, Adam ; Malina, Lukáš (referee) ; Martinásek, Zdeněk (advisor)
This work is focused on penetration testing of web applications. The theoretical part describes this issue and methodology. The work includes security organization "The Open Web Application Security Project" (OWASP), document OWASP Top 10 and the first 5 vulnerabilities of this document. The last part introduces linux distribution Kali Linux and the several most used penetration tools. The practical part consists of testing the first five vulnerabilities in the document OWASP Top 10 2013. It contains a description of the used SW for the realization of the attacks, virtual infrastructure and test of each vulnerabilities. From the practical part is created laboratory task "Penetration testing of web applications" and additional introductory task "Introduction into penetration testing".
|
|
|
Design of a smart meter testing methodology focusing on invasive testing
Biolek, Martin ; Sikora, Marek (referee) ; Lieskovan, Tomáš (advisor)
Bachelor thesis is focused on investigating the security deficits of smart meters through penetration testing. The theoretical part describes the standards that should be followed by smart meter manufacturers. This is followed by the practical part where the testing of two smart meter systems was conducted in order to discover their vulnerabilities. The result of the work is the exposure of one of the two systems of interest that requires significant security improvements before deployment of another version. A description of the vulnerabilities is included in the practical part of the thesis.
|
|
|
PHP web application for penetration testing of the PrestaShop system
Richter, Dominik ; Člupek, Vlastimil (referee) ; Slunský, Tomáš (advisor)
This diploma thesis is focused on the development of an application in PHP program- ming language for penetration testing of web other applications using PrestaShop sys- tem. Similar to PrestaShop, other platforms mediating the implementation of online stores are a very exposed point of contact with customers. Therefore, they are also the target of many cyber-attacks against which they need to be protected. In the theoret- ical part of the thesis, the reader is introduced to PHP, MySQL or Laravel framework technologies and MVC web application architecture including REST API. Furthermore, the PrestaShop system and the penetration testing methodology are described in detail. In the practical part of the thesis, the development and testing environment is intro- duced and the PrestaCure web application with implemented penetration testing suite is described. The results of the thesis show the full functionality and usability of the implemented application in practice also with respect to the simplicity and modularity of adding additional penetration tests.
|
|
| |
|
|
Security Analysis of Immersive Virtual Reality and Its Implications
Vondráček, Martin ; Ryšavý, Ondřej (referee) ; Pluskal, Jan (advisor)
Virtuální realita je v současné době využívána nejen pro zábavu, ale i pro práci a sociální interakci, kde má soukromí a důvěrnost informací vysokou prioritu. Avšak bohužel, bezpečnostní opatření uplatňovaná dodavateli softwaru často nejsou dostačující. Tato práce přináší rozsáhlou bezpečnostní analýzu populární aplikace Bigscreen pro virtuální realitu, která má více než 500 000 uživatelů. Byly využity techniky analýzy síťového provozu, penetračního testování, reverzního inženýrství a dokonce i metody pro application crippling. Výzkum vedl k odhalení kritických zranitelností, které přímo narušovaly soukromí uživatelů a umožnily útočníkovi plně převzít kontrolu nad počítačem oběti. Nalezené bezpečnostní chyby umožnily distribuci škodlivého softwaru a vytvoření botnetu pomocí počítačového červa šířícího se ve virtuálních prostředích. Byl vytvořen nový kybernetický útok ve virtální realitě nazvaný Man-in-the-Room. Dále byla objevena bezpečnostní chyba v Unity engine. Zodpovědné nahlášení objevených chyb pomohlo zmírnit rizika pro více než půl milionu uživatelů aplikace Bigscreen a uživatele všech dotčených aplikací v Unity po celém světě.
|
|
|
Methodology of pentesting in industrial control systems
Slabý, Patrik ; Lukáš,, Petr (referee) ; Sedlák, Petr (advisor)
This diploma thesis deals with the design of a methodology for penetration testing of industrial control systems. This work aims to approach the issue of these systems, which has completely different priorities than information technology systems, and based on these parameters to then design a procedure and rules that should be followed by the subjects participating in the tests. The absence of a methodology for such a specific environment affecting cyberspace and physical space can have catastrophic consequences. The theoretical part deals with basic concepts and terminology important for information and cyber security, operational technologies, and penetration tests. The design then contains a description of the individual steps of the penetration testing methodology for industrial control systems.
|
|
|
Web Application Penetration Testing Automation
Dušek, Daniel ; Polčák, Libor (referee) ; Pluskal, Jan (advisor)
Tato práce má dva cíle - navrhnout obecně aplikovatelný přístup k penetračnímu testování webových aplikací, který bude využívat pouze nedestruktivních interakcí, a dále pak implementovat nástroj, který se tímto postupem bude řídit. Navrhovaný přístup má tři fáze - v první fázi tester posbírá požadavky pro testovací sezení (včetně požadavků na nedestruktivnost) a připraví si nástroje a postupy, kterých při testování využije, následně začne s průzkumem. V druhé fázi využije dodatečných nástrojů pro zpracování informací z předchozí fáze a pro ověření a odhalení zranitelností. Ve třetí fázi jsou všechny informace překovány ve zprávu o penetračním testování. Implementovaný nástroj je postavený na modulech, které jsou schopny odhalení reflektovaného XSS, serverových miskonfigurací, skrytých adresních parametrů a skrytých zajímavých souborů. V porovnání s komerčním nástrojem Acunetix je implementovaný nástroj srovnatelný v detekci reflektovaného XSS a lepší v detekci skrytých zajímavých souborů. Práce také originálně představuje nástroj pro sledování postranního kanálu Pastebin.com s cílem detekce utíkajících informací.
|
|
| |
guest ::
