VAŠÍČEK, T. Nástroj pro penetrační testování aplikačního serveru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.
Student Tomáš Vašíček pracoval aktivně na diplomové práci a pravidelně konzultoval dosažené výsledky. Student navrhnul diagram penetračního testování protokolů aplikační vrstvy, na základě současného stavu problematiky navrhnul podpůrné nástroje pro penetrační testování protokolů FTP, SSH, IMAP, POP3 a SMTP. Student k navržení diagramu popisujícího bezpečnostní testování využil relevantní veřejně dostupné zdroje HackTricks, The Hacker Recipes, které vhodně doplnil analýzou technické dokumentace RFC pro zvolené protokoly. Výsledné diagramy a podpůrné nástroje naprogramované v jazyku Python (ptapptest a ptntlmauth) splňují definované požadavky zadání a jsou funkční. Dalším vlastním přínosem práce je tvorba samotného kontrolního seznamu bezpečnostního testování protokolů aplikační vrstvy dle navrženého diagramu a následná integrace kontrolního seznamu do platformy Penterep. Funkčnost nástrojů byla ověřena na veřejně dostupných serverech (dle vyhledávače Shodan). Po formální a odborné stránce je práce na vysoké úrovni. Student Tomáš Vašíček splnil veškeré cíle zadání diplomové práce a navrhuji práci k obhajobě s hodnocením A.
Diplomová práce pana Vašíčka se zabývá návrhem a implementací rozšíření platformy Penterep o penetrační testování protokolů aplikační vrstvy FTP, SSH, SMTP, POP3 a IMAP. Textová část práce je logicky členěna a psaná formou, která odpovídá standardu VUT FEKT pro diplomové práce. Vytkl bych zde zejména rastrové obrázky (např. Obr 3.3., 3.5 apod.), které zhoršují typografickou kvalitu jinak poměrně zdařilého textu, a dále značné množství kódových ukázek (opakující nápis “Penterep Tools”), které zhoršují čtivost textu. V teoretické části práce se student věnuje jednotlivým protokolům. Rozbor protokolů považuji v daném typu práce za dostačující. Dále student navrhuje implementaci kontrolních seznamů pro jednotlivé protokoly do platformy Penterep. V praktické části student realizoval nástroj ptapptest a vyvinul dílčí moduly pro jednotlivé protokoly. Implementační část práce se zdá zdařilá, kód odpovídá dnešnímu způsobu vývoje Python scriptů a nenacházím zde vážnějších prohřešků¨až na absenci automatizovaných testů ověřujících funkcionalitu dílčích metod (jednotkové, integrační, mutační a další testy). Testování aplikačních serverů a jeho rozsah pomocí vyvinutého nástroje považuji za dostatečné. Cíle práce byly splněny. Z výše uvedených důvodů hodnotím práci A (90 bodů).
eVSKP id 159237