PÍŠ, P. Nástroj pro dynamickou analýzu webových aplikací [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.
Cílem diplomové práce je návrh a vytvoření automatizovaného nástroje pro penetrační testování webových aplikací. Tento nástroj má být integrován do platformy Penterep pro podporu penetračního testování. Zadání považuji za komplexnější, protože bylo nutné provést poměrně rozsáhlé rešerše a vytvořit testovací metodologii. Všechny cíle práce považuji za splněné. Navržený nástroj je prakticky velmi dobře použitelný, autor měl dostatek času aplikaci náležitě odladit, provedl také testování při reálných penetračních testech. Implementovaná aplikace je na dobré úrovni, programový kód je přehledný a zvolená architektura umožňuje modularitu a integraci. Drobnou výtku mám ke zbytečnému uvedení funkce parse_cookies, která je celá zakomentovaná. Po formální stránce je práce velmi na vynikající úrovni, jednotlivé části na sebe navazují. Teoretická část práce zdařile popisuje danou problematiku. Práce s informačními zdroji vyhovující. Kladně hodnotím také provedení srovnání s existujícími řešeními. Přístup studenta k řešení práce považuji za příkladný. Aktivně konzultoval postup prací a přicházel s vlastními nápady na další pokračování práce. O výborném přístupu svědčí i to, že student výsledky práce prezentoval na soutěžní konferenci Student EEICT, přičemž v soutěžní kategorii byla vítězným příspěvkem a získala také zvláštní cenu sponzora soutěže. Na základě výše uvedeného práci doporučuji k obhajobě s hodnocením A/99b.
Hlavním cílem diplomové práce Patrika Piše byl vlastní návrh a vývoj nástroje využívajícího metodického postupu pro provedení dynamické analýzy za účelem bezpečnostního testování webových aplikací. Výsledný nástroj měl být otestován v platformě Penterep. Diplomová práce je logicky členěna, autor postupuje se znalostí věci. Odborný text vhodně doplňují obrázky, které mají výbornou kvalitu a činní tak obsah práce velmi srozumitelný. V práci se vyskytují drobné formální nedostatky jako je např. jeden podnadpis úrovně 3 (4.1.1), typografický sirotek (př. str. 42) nebo považuji za nevhodné odskočení definice proměnné k rovnici (v případě, pokud je jedna, př. str. 43). Nicméně odborná úroveň práce i celková formální je nadstandartní. Použité technologie a metriky pro jednotlivé moduly jsou vhodně voleny a odůvodněny. K praktické části práce nemám žádnou výtku. Mohu konstatovat, že veškeré stanovené cíle práce byly splněny a student prokázal inženýrský přístup k řešení úkolu vlastním návrhem, implementací a testováním nástroje. Výsledný nástroj v porovnání se současným stavem poskytuje otestovat specifické parametry webové aplikace např. rate limit, atributů souborů cookies atp. Navíc student otestoval nástroj v reálném produkčním prostředí při penetračních testech (ne jen v kontrolovaném sand-box prostředí) a to nad rámec zadání práce. Toto testování dokazuje vhodnost nástroje pro aplikaci v praxi a komplexnost návrhu i implementace. Navíc student s výsledky diplomové práce obsadil první místo ve studentské konferenci EEICT v kategorii M4 – Communication and Information Systems, Network Security II. Na základě výše uvedených faktů a dosažených excelentních výsledků navrhuji práci k obhajobě s hodnocením A 98.
eVSKP id 159222