Nástroj pro dynamickou analýzu webových aplikací

Abstract

Táto diplomová práca sa zaoberá problematikou penetračného testovania webových aplikácií s primárnym zameraním na využívanie dynamickej analýzy. Práca analyzuje súčasný stav problematiky bezpečnosti webových aplikácií a sústredí sa ako na jednotlivé zraniteľnosti, tak i na protekčné mechanizmy, ktoré webové aplikácie implementujú. Hlavným cieľom práce je navrhnúť a implementovať automatizovaný ofenzívny nástroj, ktorý testuje odolnosť webovej aplikácie voči kybernetickým hrozbám. V porovnaní s~inými dostupnými nástrojmi a ich obmedzeniami umožňuje navrhované riešenie efektívne testovanie rate limitingu a zároveň testovanie HTTP hlavičiek, atribútov súborov cookie a~direktív content security policy. Na overenie jeho účinnosti pri podpore manuálneho penetračného testovania webových aplikácií bolo vytvorené sandbox prostredie, kde prebiehalo experimentálne testovanie. Nástroj bol testovaný aj v reálnom produkčnom prostredí pri penetračných testoch pre reálnych klientov s pozitívnou odozvou od profesionálnych penetračných testerov, čo poukazuje na jeho praktickosť a použiteľnosť pri penetračnom testovaní webových aplikácií.This master's thesis presents matters of penetration testing of web applications with the primary focus on the use of dynamic analysis. The thesis analyzes the current state of the art of web application security and focuses on both individual vulnerabilities and the protection mechanisms implemented by web applications. The main objective of the thesis is to design and implement an automated offensive tool that tests the resilience of a~web application to cyber threats. Compared to other available tools and their limitations, the proposed solution enables efficient rate limiting testing while also allowing testing of HTTP headers, cookie attributes, and content security policy directives. To validate its effectiveness in supporting manual penetration testing of web applications, a sandbox environment was created where experimental testing was conducted. The tool was also tested in a real production environment during penetration tests for real clients with positive feedback from professional penetration testers, demonstrating its practicality and usability in web application penetration testing.