Návrh počítačových cvičení pro zabezpečení informačních systémů

V dnešní době je spousta služeb poskytována v internetovém prostředí prostřednictvím webových aplikací. Kyberprostorem se tak přenáší velké množství dat a citlivých informací, které mohou být útočníky odcizeny při nedostatečném zabezpečení systémů, které s nimi pracují. Vzdělání v oblasti Informační bezpečnosti je proto stěžejní. Za tímto účelem byla vytvořena webová aplikace v programovacím jazyce Java k demonstraci útoků na ni mířených. Aplikace je sestrojena s využitím frameworku Spring a připojena k databázi PostgreSQL. V práci jsou předvedeny a popsány nejběžnější útoky na webové aplikace, kterými jsou Útok hrubou silou, útoky SQL injection, útok Cross-site scripting a Cross-site request forgery, chyby v řízení přístupu, expozice citlivých dat, nekonzistence dat ve webové aplikaci a zásah do manipulace s parametry webové aplikace. Proti těmto útokům jsou uvedeny konkrétní způsoby implementace ochrany k zajištění jejich bezpečného používání. Tato práce může sloužit jako užitečný zdroj informací pro vývojáře i uživatele webových aplikací, kteří chtějí získat vědomosti o problematice počítačových útoků a snižovat tím riziko jejich výskytu.
Nowadays, many services are provided in an online environment through web applications. A large amount of data and sensitive information is thus transmitted through cyberspace, which can be stolen by attackers if the systems that handle it are not sufficiently secure. Education in Information Security is therefore crucial. To this end, a web application in the Java programming language was therefore created to demonstrate attacks aimed at it. The application is constructed using Spring framework and connected to PostgreSQL database. The most common attacks on web applications are demonstrated and described in this thesis which are Brute force attack, SQL injection attack, Cross-site scripting attack and Cross-site request forgery, access control vulnerabilities, sensitive data exposure, data inconsistency in web application and interference with web application parameter manipulation. Specific ways of implementing protection against these attacks are given to ensure their safe use. This work can be used as a useful source of information for web application developers and users who want to gain knowledge about the issues of cyber attacks and thereby reduce the risk of their occurrence.

Keywords

webová aplikace, webový framework, hackerský útok, Spring, Spring Boot, Spring Security, HTML, PostgreSQL, bezpečnost, web application, web framework, hacker attack, Spring, Spring Boot, Spring Security, HTML, PostgreSQL, security

Citation

NAKLÁDALOVÁ, K. Návrh počítačových cvičení pro zabezpečení informačních systémů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.

Language of document

cs

Study field

bez specializace

Comittee

prof. Ing. Jan Hajný, Ph.D. (předseda) JUDr. Pavel Loutocký, BA (Hons), Ph.D. (místopředseda) Ing. Pavel Mašek, Ph.D. (člen) Ing. Ondřej Rášo, Ph.D. (člen) Ing. Tomáš Mácha, Ph.D. (člen) Ing. Tomáš Gerlich (člen)

Date of acceptance

2023-06-13

Defence

Studentka prezentovala výsledky své práce a komise byla seznámena s posudky. Studentka obhájila bakalářskou práci a odpověděla na otázky členů komise a oponenta. Otázky 1)V dnešnej dobe sa vyskytujú aj útoky typu Cryptojacking. Je Vaša forma ochrany voči Cross-site scripting útokom účinná aj na Cryptojacking útoku? 2)Ako by bolo možné demonštrovať útok na log4j framework? 3)Jaký bezpečnostní prvek by dokázal zabránit vámi prezentovaným útokům? 4)V jakém předmětu by mohla být nasazena vaše úloha? 5)Byla webová aplikace naprogramována vámi? Studentka dostatečně vysvětlila všechny otázky.

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení