Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu

Loading...
Thumbnail Image
Date
ORCID
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Cílem práce je popsat známé metody hodnocení zranitelností, a provést jejich implementaci do webové aplikace využívající framework Vue.js. Práce popisuje dva systémy hodnocení zranitelností, a to CVSS (Common Vulnerability Scoring System) a OWASP (Open Web Application Security Project) Risk Rating Methodology. Jsou popsány jejich části, metriky a metody samotného výpočtu hodnocení. Následně jsou tyto systémy porovnány a jsou určeny jejich silné a slabé stránky. Práce dále hodnotí některé známe zranitelnosti pomocí těchto dvou metod hodnocení. Práce dále popisuje návrh frontendu a backendu webové aplikace. Pro frontend je využit framework Vue.js, který umožňuje tvorbu dynamických jednostránkových webových aplikací. Jsou navrhnuty komponenty a rozložení aplikace. Dále je proveden návrh vzhledu frontednové aplikace a jejích komponentů. Backend byl navrhnut tak, aby vyhovoval frameworku Djnago, který spolu s frameworkem django REST framework slouží k rychlému vytváření API (Application Programming Interface) komunikujícího s databází. Byl navrhnut model pro ukládání dat z frontendové aplikace. Následně práce popisuje samotnou implementaci této aplikace rozdělenou na frontend a backend. V backendu je popsána implementace API a databáze. Je popsána implementace samotného modelu, serializátoru a metod pro komunikaci s frontendovou aplikací. Ve frontendu je vytvořen vue router, který slouží k dynamické změně obsahu stránky, a poté již samotné komponenty, které slouží jako stavební bloky aplikace. Tyto komponenty obsahují tři části, a to strukturu, kód JavaScriptu a CSS (Cascading Sytle Sheets). Komponenty si mohou předávat data a volat funkce jiných komponentů. Poslední částí práce je testování aplikace samotné. Je otestována její funkčnost pomocí výpočtu skóre již hodnocených zranitelností a některých bodů OWASP ASVS (Application Security Verification Standart). Dále je otestována bezpečnost pomocí testu několika známých zranitelností, společně s testováním pomocí OWASP ASVS.
The aim of this work is to describe the known methods of vulnerability assessment, and to implement them in a web application using the Vue.js framework. The thesis describes two vulnerability assessment systems, namely CVSS (Common Vulnerability Scoring System) and OWASP (Open Web Application Security Project) Risk Rating Methodology. Their parts, metrics and methods of calculation of the evaluation are described. Subsequently, these systems are compared and their strengths and weaknesses are determined. The work then evaluates some known vulnerabilities using these two assessment methods. The work then describes the design of the frontend and backend of the web application. The frontend uses the Vue.js framework, which allows the creation of dynamic one-page web applications. The components and layout of the application are designed. Furthermore, the appearance of the front application and its components is designed. The backend was designed to suit with the Djnago framework, which together with the django REST framework can be used to quickly create an API (Application Programming Interface) communicating with the database. A model for storing data from a frontend application was designed. The work then describes the implementation of this application divided into frontend and backend. The backend describes the implementation of the API and the database. The implementation of the model itself, serializer and methods for communication with the frontend application are described. In the frontend, a vue router is created, which is used to dynamically change the content of the page, then the components themselves are created, which serve as building blocks of the application. These components contain three parts, namely structure, JavaScript code and CSS (Cascading Sytle Sheets). Components can pass data and call functions of other components. The last part of the work is testing of the application itself. Its functionality is tested by calculating the score of already assessed vulnerabilities and some items of the OWASP ASVS (Application Security Verification Standard). Furthermore, security is tested by testing several known vulnerabilities, along with testing with OWASP ASVS.
Description
Citation
ŠKRHÁK, P. Vývoj kalkulátoru pro hodnocení zranitelností v Javascriptu [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2021.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
bez specializace
Comittee
prof. Ing. Jaroslav Koton, Ph.D. (předseda) JUDr. MgA. Jakub Míšek, Ph.D. (místopředseda) Ing. Eva Holasová (člen) Ing. Radovan Juráň (člen) Ing. Kryštof Zeman, Ph.D. (člen) Ing. Michal Polívka, Ph.D. (člen)
Date of acceptance
2021-06-15
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci a odpověděl na otázky členů komise a oponenta. Otázka oponenta: Jaký přínos představuje Vámi vytvořený databázový systém oproti standardním veřejně dostupným databázím? Byl zamýšlen např. import/export s řešením duplicit z těchto databází? Otázky komise: Co znamená zranitelnost? Je nějaká škála, jak hodnotit zranitelnosti?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
Collections
Citace PRO