|
|
Nástroj pro penetrační testování webových aplikací
Dobeš, Michal ; Malinka, Kamil (oponent) ; Barabas, Maroš (vedoucí práce)
Tato práce se zabývá problematikou penetračního testování webových aplikací, se zaměřením na zranitelnosti Cross-Site Scripting (XSS) a SQL Injection (SQLI). Popisuje technologie webových aplikací, nejběžnější zranitelnosti dle OWASP Top 10 a motivaci pro penetrační testování. Uvádí principy, dopady a doporučení pro nápravu zranitelností Cross-Site Scripting a SQL Injection. V rámci praktické části práce byl implementován nástroj pro podporu penetračního testování. Tento nástroj je rozšiřitelný prostřednictvím modulů. Byly implementovány moduly pro detekci zranitelností Cross-Site Scripting a SQL Injection. Vytvořený nástroj byl porovnán s existujícími nástroji, mimo jiné s komerčním nástrojem Burp Suite.
|
|
|
Bezpečnost aplikace MCUXpresso Web
Mittaš, Tomáš ; Heriban, Pavel (oponent) ; Roupec, Jan (vedoucí práce)
Táto práca sa zaoberá testovaním bezpečnosti aplikácie MCUXpresso Web SDK Builder pomocou techník a nástrojov etického hackovania. Na začiatku práce je stručne spomenutá história etického hackovania a štruktúra webových aplikácií. Ďalej sa v práci rozoberá samotná aplikácia z pohľadu užívateľa, jej časti pred prihlásením a po prihlásení do aplikácie a fungovanie tejto aplikácie. Následne je popísaný zoznam najčastejších zraniteľností a slabín webových aplikácií pre pochopenie prípadných nájdených zraniteľností. Práca sa ďalej zaoberá technikami a nástrojmi bezpečnosti webových aplikácii a ich porovnaniu. Predposledná kapitola sa venuje použitiu techniky Analýza a hľadanie zraniteľností na aplikáciu MCUXpresso Web SDK Builder. Na záver je navrhnutý testovací plán bezpečnosti aplikácie, pričom časť tohto plánu je automatizovaná.
|
|
|
Specifické moduly pro podporu manuálního bezpečnostního testování
Osmani, Jakub ; Safonov, Yehor (oponent) ; Paučo, Daniel (vedoucí práce)
Tato bakalářská práce se zabývá penetračním testováním a s touto činností spojenými standardy. Hlavním cílem teoretické části je objasnit svět penetračních testů a nejznámější dokumentace organizace OWASP. Popsány jsou zranitelnosti ze seznamu top deseti zranitelností a metodiky pro bezpečnější aplikace, zvané Application Security Verification Standard (ASVS). V praktické části je práce zaměřena na tvorbu tří nástrojů sloužících k automatizaci jistých aspektů penetračních testů.
|
|
|
Webová aplikace pro testování zranitelností webového serveru
Šnajdr, Václav ; Burda, Karel (oponent) ; Smékal, David (vedoucí práce)
Diplomová práce se zabývá návrhem a implementaci webové aplikace pro testování bezpečnosti SSL/TLS protokolů na vzdáleném serveru. Webová aplikace je vyvíjena ve frameworku Nette. V teoretické části jsou popsány SSL/TLS protokoly, zranitelnosti, doporučení a použité technologie v praktické části. Praktická část se věnuje tvorbě webové aplikace s procesem použití automatických skriptů pro testování a zobrazení výsledků na webové stránce s hodnocením A+ až C. Webová aplikace zároveň zobrazí seznam detekovaných zranitelností a jejich doporučení.
|
|
|
Návrh metody pro hodnocení bezpečnostních zranitelností systémů
Pecl, David ; Martinásek, Zdeněk (oponent) ; Gerlich, Tomáš (vedoucí práce)
Práce se zabývá problematikou hodnocení bezpečnostních zranitelností. Cílem práce je vytvořit novou metodu hodnocení zranitelností, která bude lépe prioritizovat kritické zranitelnosti a reflektovat parametry, které v aktuálně využívaných metodách nejsou použity. Nejdříve popisuje současné metody, které se pro hodnocení zranitelností používají, a parametry, které jsou v jednotlivých metodách použity. První popsanou metodou je Common Vulnerability Scoring System, u které jsou popsané i všechny tři typy skóre, které tato metoda používá. Druhou analyzovanou metodou je OWASP Risk Rating Methodology. Druhá část je věnována návrhu vlastní metody, která má za cíl hodnotit zranitelnosti tak, aby bylo snadnější určit ty s vysokou prioritou. Metoda vychází ze třech skupin parametrů. První skupina popisuje technické hodnocení zranitelnosti, druhá vychází z požadavků na zajištění důvěrnosti, integrity a dostupnosti aktiva a třetí skupina parametrů hodnotí implementovaná protiopatření. Všechny tyto tři skupiny parametrů jsou pro prioritizaci důležité. Parametry popisující zranitelnost jsou rozděleny na stálé a aktuální, kdy mezi aktuální patří především informace ze služeb Threat Intelligence a náročnost exploitace. Parametry dopadu na důvěrnost, integritu a dostupnost jsou provázány s požadavky na zajištění těchto parametrů, neboli s prioritou aktiva, a dále s hodnocením protiopatření, která naopak zvyšují ochranu důvěrnosti, integrity a dostupnosti. Priorita aktiva a kvalita protiopatření se hodnotí na základě dotazníků, které jsou předloženy vlastníkům zkoumaných aktiv v rámci hodnocení zranitelností. V třetí části práce je navržená metoda srovnána s v současnosti velmi používanou metodou Common Vulnerability Scoring System. Na několika příkladech jsou ukázány silné stránky navržené metody, kdy je vidět efektivita prioritizace při zohlednění požadavků na zajištění důvěrnosti, integrity a dostupnosti a zvýšená ochrana těchto parametrů díky implementovaným protiopatřením. Metoda byla prakticky testována v laboratorním prostředí, kde byly na několika různých aktivech nasimulovány zranitelnosti. Tyto zranitelnosti byly ohodnoceny navrženou metodou, byla zohledněna priorita aktiva a kvalita protiopatření a vše bylo zahrnuto do výsledné priority zranitelností. V rámci tohoto testování bylo potvrzeno, že navržená metoda efektivněji prioritizuje zranitelnosti, které jsou jednoduše exploitovatelné, v poslední době často zneužívané a jsou přítomny na aktivech s minimální ochranou a vyšší prioritou.
|
|
|
Laboratorní úloha seznamující studenty se síťovými útoky
Dostál, Adam ; Malina, Lukáš (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Tato práce je zaměřena na penetrační testování webových aplikací. Teoretická část popisuje tuto problematiku a metodologii. V práci je zahrnuta bezpečnostní organizace „The Open Web Application Security Project“ (OWASP), dokument OWASP Top 10 a prvních 5 zranitelností tohoto dokumentu. Poslední část uvádí linuxovou distribuci Kali Linux a několik nejpoužívanějších penetračních nástrojů. Praktickou část tvoří testování prvních pěti zranitelností z dokumentu OWASP Top 10 2013. Obsahuje popis použitého SW pro realizaci útoků, virtuální infrastruktury a test jednotlivých zranitelností. Z praktické části je vytvořena laboratorní úloha „Penetrační testování webových aplikací“ a dodatečná úvodní úloha „Úvod do problematiky penetračního testování“.
|
|
|
Pokyny pro bezpečné programování- React
Solich, Filip ; Firc, Anton (oponent) ; Malinka, Kamil (vedoucí práce)
Tato práce se zabývá psaním bezpečných aplikací v JavaScriptové knihovně React. Cílem této práce je vytvořit příručku pro programátory, aby s její pomocí byli schopni detekovat části webových aplikací, které mohou být zneužité k útoku na aplikaci. Je zde popsáno jak a na co je třeba si pří psaní webových aplikací dát pozor, jaké jsou nejlepší praktiky programování v knihovně React, díky kterým se programátor dokáže vyhnout bezpečnostním chybám v kódu aplikace a jak případné chyby opravit. Jsou zde popsány i samotné druhy útoků a jak mohou útoky na zranitelnou aplikaci probíhat. Znalost průběhu útoku pomůže programátorovi lépe přemýšlet o slabých článcích aplikace a tím také odhalit bezpečnostní problém v aplikaci dříve než útočník.
|
|
|
Security Testing of Obfuscated Android Applications
Michalec, Pavol ; Dzurenda, Petr (oponent) ; Malina, Lukáš (vedoucí práce)
The Master´s Thesis is about the security testing of obfuscated Android applications. The theoretical part of the thesis describes the basic theory behind obfuscation and mentions several obfuscators. Impact of obfuscation on penetration testing is also mentioned. Dynamic analysis is proposed as the main tool of this thesis to bypass the obfuscation. The practical part of the thesis describes realtime application self-protection controls and a way to bypass them using dynamic analysis. The second section of the practical part is about advanced obfuscation techniques and their bypassing.
|
|
|
Application that supports penetration tests of web applications
Holovová, Simona ; Švikruha, Patrik (oponent) ; Martinásek, Zdeněk (vedoucí práce)
This master´s thesis is about the security of web applications and penetration testing. The main goal is to gain knowledge about testing methodologies OWASP Testing Guide and ASVS and to implement this knowledge into a web application to assist during manual penetration testing. The theoretical part of the thesis describes both methodologies and web technologies used during the development of the application. The practical part of the thesis is about the design of the application based on the specification, its implementation, and security hardening.
|
|
|
Bezpečnost služby Testing Farm
Havlín, Jan ; Malinka, Kamil (oponent) ; Drga, Jozef (vedoucí práce)
Práce se zabývá bezpečností služby Testing Farm ve firmě Red Hat. Konkrétně jde o možnost neoprávněného využití testovacích strojů k jiným účelům, než jsou určené. Potřeba pro implementaci bezpečnostního systému pramení z toho, že uživatelé této služby mohou na testovacích strojích spouštět libovolný kód jako uživatel root. V implementační části práce byl vytvořen monitorovací agent, kterého se podařilo nasadit na testovací stroje v produkčním prostředí služby. Tento systém sleduje přenášené síťové pakety, systémové zdroje a konfiguraci. Na základě těchto pozorování vytváří metriky o chování systému, které odesílá na monitorovací server Prometheus.
|
host ::
RSS.