• čeština
    • English
  • English 
    • čeština
    • English
  • Login
View Item 
  •   Repository Home
  • Závěrečné práce
  • diplomové práce
  • Fakulta informačních technologií
  • 2019
  • View Item
  •   Repository Home
  • Závěrečné práce
  • diplomové práce
  • Fakulta informačních technologií
  • 2019
  • View Item
JavaScript is disabled for your browser. Some features of this site may not work without it.

Automatizace penetračního testování webových aplikací

Web Application Penetration Testing Automation

Thumbnail
View/Open
Posudek-Oponent prace-21678_o.pdf (92.17Kb)
Posudek-Vedouci prace-21678_v.pdf (85.82Kb)
final-thesis.pdf (1.150Mb)
review_122008.html (1.451Kb)
Author
Dušek, Daniel
Advisor
Pluskal, Jan
Referee
Polčák, Libor
Grade
A
Altmetrics
Metadata
Show full item record
Abstract
Tato práce má dva cíle - navrhnout obecně aplikovatelný přístup k penetračnímu testování webových aplikací, který bude využívat pouze nedestruktivních interakcí, a dále pak implementovat nástroj, který se tímto postupem bude řídit. Navrhovaný přístup má tři fáze - v první fázi tester posbírá požadavky pro testovací sezení (včetně požadavků na nedestruktivnost) a připraví si nástroje a postupy, kterých při testování využije, následně začne s průzkumem. V druhé fázi využije dodatečných nástrojů pro zpracování informací z předchozí fáze a pro ověření a odhalení zranitelností. Ve třetí fázi jsou všechny informace překovány ve zprávu o penetračním testování. Implementovaný nástroj je postavený na modulech, které jsou schopny odhalení reflektovaného XSS, serverových miskonfigurací, skrytých adresních parametrů a skrytých zajímavých souborů. V porovnání s komerčním nástrojem Acunetix je implementovaný nástroj srovnatelný v detekci reflektovaného XSS a lepší v detekci skrytých zajímavých souborů. Práce také originálně představuje nástroj pro sledování postranního kanálu Pastebin.com s cílem detekce utíkajících informací.
 
This work has two goals - to propose a generally applicable approach to web application penetration testing that is non-destructive to a target application, and to implement a tool that will follow it. The proposed approach has three phases. In the first phase, a tester gathers and adheres to the testing requirements (including the non-destructiveness), prepares a tool set and starts the reconnaissance. In the second phase, additional testing tools are used to process collected information and to verify vulnerabilities and provide conclusions. During the third phase, a final report is generated. The implemented tool is built as a collection of modules that are capable of the detection of reflected XSS, hidden query string parameters, resource enumeration and server misconfigurations detection. In comparison to Acunetix vulnerability scanner, the implemented tool performs just as well in the reflected XSS detection and outperforms the Acunetix in hidden resources enumeration. This work also brings a proof of concept implementation of a tool for Pastebin.com side-channel monitoring.
 
Keywords
Penetrační testování, webové aplikace, automatizace, informační bezpečnost, veřejně přístupné informace, automatizované testování počítačové bezpečnosti., Penetration testing, web applications, automation, information security, security, open source inteligence, automated security scanning.
Language
angličtina (English)
Study brunch
Informační systémy
Composition of Committee
doc. Dr. Ing. Dušan Kolář (předseda) prof. RNDr. Milan Češka, CSc. (místopředseda) Ing. Petr Matoušek, Ph.D. (člen) Mgr. Jan Pavlík, Ph.D. (člen) RNDr. Marek Rychlý, Ph.D. (člen) Ing. Aleš Smrčka, Ph.D. (člen)
Date of defence
2019-06-19
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně. Otázky u obhajoby: Na CD se nachází adresář ReconJay/payloads obsahující databáze řetězců. Jde o dílo autora, nebo jsou řetězce převzaté? Jak moc jsou navržené a implementované algoritmy vlastním dílem a jak moc jsou čerpány odjinud? Jaká je budoucnost nástroje?
Result of the defence
práce byla úspěšně obhájena
Persistent identifier
http://hdl.handle.net/11012/180379
Source
DUŠEK, D. Automatizace penetračního testování webových aplikací [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2019.
Collections
  • 2019 [172]
Citace PRO

Portal of libraries | Central library on Facebook
DSpace software copyright © 2002-2015  DuraSpace
Contact Us | Send Feedback | Theme by @mire NV
 

 

Browse

All of repositoryCommunities & CollectionsBy Issue DateAuthorsTitlesSubjectsThis CollectionBy Issue DateAuthorsTitlesSubjects

My Account

LoginRegister

Statistics

View Usage Statistics

Portal of libraries | Central library on Facebook
DSpace software copyright © 2002-2015  DuraSpace
Contact Us | Send Feedback | Theme by @mire NV