Statická analýza pro vyhledávání bezpečnostních slabin webových aplikací na platformě Asp.Net
Loading...
Date
Authors
Říha, Jakub
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Tato bakalářská práce popisuje jak teoretické základy, tak způsob vytvoření statického analyzátoru založeném na platformě .NET Framework a službách poskytnutých prostřednictvím .NET Compiler Platform. Tento analyzátor detekuje bezpečnostní slabiny typu SQL injection na platformě ASP.NET MVC. Analyzátor nejdříve sestrojuje grafy řízení toku jako abstraktní reprezentaci analyzovaného programu. Poté využívá statické analýzy pro sledování potenciálně nedůvěryhodných dat. Nakonec jsou výsledky analýzy prezentovány uživateli.
This Bachelor thesis is intended to describe theoretical foundations as well as the construction of a static taint analyser based on the .NET Framework and the analysis services provided by the .NET Compiler Platform. This analyser detects SQL injection security vulnerabilities on the ASP.NET MVC platform. Firstly, the analyser constructs control flow graphs as an abstract representation of the analysed program. Then, it uses a static taint analysis to track potentially distrusted and tainted data values. Finally, analysis results are presented to the user.
This Bachelor thesis is intended to describe theoretical foundations as well as the construction of a static taint analyser based on the .NET Framework and the analysis services provided by the .NET Compiler Platform. This analyser detects SQL injection security vulnerabilities on the ASP.NET MVC platform. Firstly, the analyser constructs control flow graphs as an abstract representation of the analysed program. Then, it uses a static taint analysis to track potentially distrusted and tainted data values. Finally, analysis results are presented to the user.
Description
Keywords
Citation
ŘÍHA, J. Statická analýza pro vyhledávání bezpečnostních slabin webových aplikací na platformě Asp.Net [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Informační technologie
Comittee
doc. Dr. Ing. Petr Hanáček (předseda)
prof. Ing. Tomáš Vojnar, Ph.D. (místopředseda)
doc. Ing. Vítězslav Beran, Ph.D. (člen)
Ing. Karel Masařík, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)
Date of acceptance
2014-06-19
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B. Otázky u obhajoby: Existují jiné práce zabývající se detekcí bezpečnostních chyb ve webových aplikacích? Jaké vidíte největší překážky pokud by měl být nástroj rozšířen o práci nad CIL mezikódem? Platforma .NET Compiler Platform je velmi mladá. Jste si vědom toho, zda v průběhu vašeho řešení vznikla nějaká jiná podobná práce využívající této platformu?
Result of defence
práce byla úspěšně obhájena