Hledání zranitelností typu SQL injection v Kentico CMS

No Thumbnail Available
Files
review_35038.html(1.45 KB)
Date
Authors
Pintér, Dominik
ORCID
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Tato bakalářská práce se zabývá návrhem a tvorbou aplikace pro vyhledávání zranitelností typu SQL injection v systému Kentico CMS. Program je založen na statické analýze zdrojového kódu. Vyhledává místa, kde probíhá komunikace s databází a ty podrobuje zkoumání. Cílem je nalézt obranu před SQL injection, pokud nalezena není, program označí dané místo za nezabezpečené. Aplikace je určená pro operační systém Windows a pro svůj běh vyžaduje .NET framework verze 2.0. Práce si klade za cíl představit konkrétní nástroj pro vyhledávání určité chyby pro jeden systém (aplikaci). Nicméně, snahou autora bylo popsat problematiku tak, aby bylo možné na základě této práce vytvořit podobný nástroj pro jiný systém a případně i pro vyhledávání jiné zranitelnosti. Začátek textu je věnován systému Kentico CMS se zaměřením na způsob práce s databází v tomto systému. V další části je popsána zranitelnost typu SQL injection včetně způsobů obrany. Největší část práce se věnuje návrhu aplikace. Předposlední část popisuje implementaci programu a testovaní. Závěr patří zhodnocení této práce a také je zde naznačen další vývoj projektu.
This barchelor's thesis describes the design of an application for locating SQL injection vulnerabilities in Kentico CMS. The application is based on static code analysis. It searches for places where Kentico CMS communicates with database and explorers them. The aim is to find protection against SQL injection. If protection is not found, the found place is marked as unprotected. The application works with  Windows operating systems and needs .NET framework version 2.0. The main aim is to introduce a tool for locating specific vulnerabilities for one system (application). However, the author tried to describe the main ideas in a way that this paper can be used as a manual for another system or another vulnerability. The first part of the paper is about Kentico CMS and it's focused on how Kentico CMS works with database. The next part si dedicated to SQL injection vulnerabilities and protection against them. The largest part of the paper is focused on the design of the application. The semifinal part describes its implementation and testing. The conclusion contains evaluation of the tool and there are some ideas how this project can be improved.
Description
Keywords
SQL, injection, Kentico, CMS, ASP.NET, web, .NET, zranitelnost, SQL, injection, Kentico, CMS, ASP.NET, web, .NET, vulnerability
Citation
PINTÉR, D. Hledání zranitelností typu SQL injection v Kentico CMS [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2010.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační technologie
Comittee
doc. Dr. Ing. Otto Fučík (předseda) doc. Ing. Vladimír Janoušek, Ph.D. (místopředseda) Ing. Vladimír Bartík, Ph.D. (člen) Ing. Filip Orság, Ph.D. (člen) Ing. Ivana Burgetová, Ph.D. (člen)
Date of acceptance
2010-06-14
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se pak seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm "B". Otázky u obhajoby: Aké zmeny by bolo nutné vykonať vo vašom systéme pre zvýšenie jeho univerzálnosti, aby bol využiteľný pre obecnú detekciu SQL Injection, nie iba pre systém Kentico CMS?
Result of defence
práce byla úspěšně obhájena
Document licence
Přístup k plnému textu prostřednictvím internetu byl licenční smlouvou omezen na dobu 10 roku/let
DOI
URI
http://hdl.handle.net/11012/56093
Collections
2010
Citace PRO