Statická analýza pro vyhledávání bezpečnostních slabin webových aplikací na platformě Asp.Net

Static Analysis for Discovering Security Vulnerabilities in Web Applications on the Asp.Net Platform

Thumbnail
View/Open
Author
Advisor
Vojnar, Tomáš
Referee
Lengál, Ondřej
Grade
B
Altmetrics
Metadata
Show full item record
Abstract
Tato bakalářská práce popisuje jak teoretické základy, tak způsob vytvoření statického analyzátoru založeném na platformě .NET Framework a službách poskytnutých prostřednictvím .NET Compiler Platform. Tento analyzátor detekuje bezpečnostní slabiny typu SQL injection na platformě ASP.NET MVC. Analyzátor nejdříve sestrojuje grafy řízení toku jako abstraktní reprezentaci analyzovaného programu. Poté využívá statické analýzy pro sledování potenciálně nedůvěryhodných dat. Nakonec jsou výsledky analýzy prezentovány uživateli.
 
This Bachelor thesis is intended to describe theoretical foundations as well as the construction of a static taint analyser based on the .NET Framework and the analysis services provided by the .NET Compiler Platform. This analyser detects SQL injection security vulnerabilities on the ASP.NET MVC platform. Firstly, the analyser constructs control flow graphs as an abstract representation of the analysed program. Then, it uses a static taint analysis to track potentially distrusted and tainted data values. Finally, analysis results are presented to the user.
 
Keywords
taint analýza, bezpečnost, SQL injection, .NET Compiler Platform, .NET Framework, ASP.NET MVC, taint analysis, security, SQL injection, .NET Compiler Platform, .NET Framework, ASP.NET MVC
Language
angličtina (English)
Study brunch
Informační technologie
Composition of Committee
doc. Dr. Ing. Petr Hanáček (předseda) prof. Ing. Tomáš Vojnar, Ph.D. (místopředseda) Ing. Vítězslav Beran, Ph.D. (člen) Ing. Karel Masařík, Ph.D. (člen) Ing. Josef Strnadel, Ph.D. (člen)
Date of defence
2014-06-19
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B. Otázky u obhajoby: Existují jiné práce zabývající se detekcí bezpečnostních chyb ve webových aplikacích? Jaké vidíte největší překážky pokud by měl být nástroj rozšířen o práci nad CIL mezikódem? Platforma .NET Compiler Platform je velmi mladá. Jste si vědom toho, zda v průběhu vašeho řešení vznikla nějaká jiná podobná práce využívající této platformu?
Result of the defence
práce byla úspěšně obhájena
Persistent identifier
http://hdl.handle.net/11012/56412
Source
ŘÍHA, J. Statická analýza pro vyhledávání bezpečnostních slabin webových aplikací na platformě Asp.Net [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014.
Collections
Citace PRO