• čeština
    • English
    • русский
  • English 
    • čeština
    • English
    • русский
  • Login
View Item 
  •   Repository Home
  • Závěrečné práce
  • bakalářské práce
  • Fakulta informačních technologií
  • 2013
  • View Item
  •   Repository Home
  • Závěrečné práce
  • bakalářské práce
  • Fakulta informačních technologií
  • 2013
  • View Item
JavaScript is disabled for your browser. Some features of this site may not work without it.

Nástroj pro detekci zranitelnosti SQL Injection

Tool for SQL Injection Vulnerability Detection

Thumbnail
View/Open
final-thesis.pdf (1002.Kb)
review_79566.html (1.437Kb)
Author
Kutypa, Matouš
Advisor
Barabas, Maroš
Referee
Samek, Jan
Grade
B
Altmetrics
Metadata
Show full item record
Abstract
Bakalářská práce je zaměřena na problematiku bezpečnostní chyby SQL injection. V práci jsou popsány běžně používané postupy při útocích na informační systémy a jsou také probrány možnosti obrany včetně uvedení způsobů správné validace vstupů aplikace. Teoretická část práce obsahuje nezbytný základ, jaký by měl penetrační tester znát, aby byl schopen prověřit vstupy aplikace na odolnost proti útokům typu SQL injection. Součástí práce je analýza, návrh a implementace nástroje specializovaného na detekci obtížně zjistitelných zranitelností webové aplikace. Implementovaný nástroj byl otestován a porovnán s jinými běžně dostupnými nástroji. V rámci práce byla také vytvořena webová aplikace pro demonstraci různých variant zranitelných vstupů SQL injection.
 
The Bachelor thesis is focused on the issue of SQL injection vulnerabilities. The thesis presents commonly used procedures in the attacks against information systems and are also discussed possibilities of defense including the correct ways of input validation. The theoretical part contains the essential foundation of what should the penetration tester know, to be able to examine the inputs of application for SQL injection vulnerability. The thesis also describes analysis, design and implementation of specialized tool for Web application vulnerability detection. The implemented tool was tested and compared with other existing tools. Within the thesis has been also implemented a Web application, which demonstrates many different variants of SQL injection vulnerable inputs.
 
Keywords
SQL injection, bezpečnost aplikací, informační systém, databázový systém, zranitelnost, útok, obrana, automatizované testování, škodlivý kód, injekce, zabezpečení vstupu., SQL injection, security of application, information system, database system, vulnerability, attack, defense, automatic testing, malicious code, injection, safety of input.
Language
čeština (Czech)
Study brunch
Informační technologie
Composition of Committee
doc. Dr. Ing. Petr Hanáček (předseda) prof. Ing. Miroslav Švéda, CSc. (místopředseda) Ing. Aleš Smrčka, Ph.D. (člen) Ing. Josef Strnadel, Ph.D. (člen) Ing. Michal Španěl, Ph.D. (člen)
Date of defence
2013-06-12
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se pak seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B . Otázky u obhajoby: V pod-kapitole 1.1, na stránce 3 uvádíte, že s využitím SQL injection je útočník schopen v mnoha případech po sobě smazat i záznamy o činnosti. Vysvětlete konkrétně jak může útočník i v případě kompromitace databáze odstranit záznamy např. z logu webového serveru (kde jsou zaznamenány požadavky útočníka), když jsou obě služby od sebe striktně odděleny na úrovni operačního systému. Jedním ze vstupů vaší aplikace je i proměnná "x" umístěná v parametru HTTP požadavku, ta označuje hodnotu vstupu pro existující záznam. Nebylo by z praktického hlediska výhodnější, aby aplikace tuto hodnotu pro některé testy generovala dynamicky sama, čímž by mohla i řešit problematiku injekce vstupů různých datových formátů (int, string, float, apod.)?
Result of the defence
práce byla úspěšně obhájena
Persistent identifier
http://hdl.handle.net/11012/55068
Source
KUTYPA, M. Nástroj pro detekci zranitelnosti SQL Injection [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2013.
Collections
  • 2013 [354]
Citace PRO

Portal of libraries | Central library on Facebook
DSpace software copyright © 2002-2015  DuraSpace
Contact Us | Send Feedback | Theme by @mire NV
 

 

Browse

All of repositoryCommunities & CollectionsBy Issue DateAuthorsTitlesSubjectsThis CollectionBy Issue DateAuthorsTitlesSubjects

My Account

LoginRegister

Statistics

View Usage Statistics

Portal of libraries | Central library on Facebook
DSpace software copyright © 2002-2015  DuraSpace
Contact Us | Send Feedback | Theme by @mire NV