Automatizace penetračního testování webových aplikací

Simple item page
but.committeedoc. Dr. Ing. Dušan Kolář (předseda) prof. RNDr. Milan Češka, CSc. (místopředseda) doc. Ing. Petr Matoušek, Ph.D., M.A. (člen) Mgr. Jan Pavlík, Ph.D. (člen) RNDr. Marek Rychlý, Ph.D. (člen) Ing. Aleš Smrčka, Ph.D. (člen)cs
but.defenceStudent nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně. Otázky u obhajoby: Na CD se nachází adresář ReconJay/payloads obsahující databáze řetězců. Jde o dílo autora, nebo jsou řetězce převzaté? Jak moc jsou navržené a implementované algoritmy vlastním dílem a jak moc jsou čerpány odjinud? Jaká je budoucnost nástroje?cs
but.jazykangličtina (English)
but.programInformační technologiecs
but.resultpráce byla úspěšně obhájenacs
dc.contributor.advisorPluskal, Janen
dc.contributor.authorDušek, Danielen
dc.contributor.refereePolčák, Liboren
dc.date.created2019cs
dc.description.abstractTato práce má dva cíle - navrhnout obecně aplikovatelný přístup k penetračnímu testování webových aplikací, který bude využívat pouze nedestruktivních interakcí, a dále pak implementovat nástroj, který se tímto postupem bude řídit. Navrhovaný přístup má tři fáze - v první fázi tester posbírá požadavky pro testovací sezení (včetně požadavků na nedestruktivnost) a připraví si nástroje a postupy, kterých při testování využije, následně začne s průzkumem. V druhé fázi využije dodatečných nástrojů pro zpracování informací z předchozí fáze a pro ověření a odhalení zranitelností. Ve třetí fázi jsou všechny informace překovány ve zprávu o penetračním testování. Implementovaný nástroj je postavený na modulech, které jsou schopny odhalení reflektovaného XSS, serverových miskonfigurací, skrytých adresních parametrů a skrytých zajímavých souborů. V porovnání s komerčním nástrojem Acunetix je implementovaný nástroj srovnatelný v detekci reflektovaného XSS a lepší v detekci skrytých zajímavých souborů. Práce také originálně představuje nástroj pro sledování postranního kanálu Pastebin.com s cílem detekce utíkajících informací.en
dc.description.abstractThis work has two goals - to propose a generally applicable approach to web application penetration testing that is non-destructive to a target application, and to implement a tool that will follow it. The proposed approach has three phases. In the first phase, a tester gathers and adheres to the testing requirements (including the non-destructiveness), prepares a tool set and starts the reconnaissance. In the second phase, additional testing tools are used to process collected information and to verify vulnerabilities and provide conclusions. During the third phase, a final report is generated. The implemented tool is built as a collection of modules that are capable of the detection of reflected XSS, hidden query string parameters, resource enumeration and server misconfigurations detection. In comparison to Acunetix vulnerability scanner, the implemented tool performs just as well in the reflected XSS detection and outperforms the Acunetix in hidden resources enumeration. This work also brings a proof of concept implementation of a tool for Pastebin.com side-channel monitoring.cs
dc.description.markAcs
dc.identifier.citationDUŠEK, D. Automatizace penetračního testování webových aplikací [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2019.cs
dc.identifier.other122008cs
dc.identifier.urihttp://hdl.handle.net/11012/180379
dc.language.isoencs
dc.publisherVysoké učení technické v Brně. Fakulta informačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectPenetrační testováníen
dc.subjectwebové aplikaceen
dc.subjectautomatizaceen
dc.subjectinformační bezpečnosten
dc.subjectveřejně přístupné informaceen
dc.subjectautomatizované testování počítačové bezpečnosti.en
dc.subjectPenetration testingcs
dc.subjectweb applicationscs
dc.subjectautomationcs
dc.subjectinformation securitycs
dc.subjectsecuritycs
dc.subjectopen source inteligencecs
dc.subjectautomated security scanning.cs
dc.titleAutomatizace penetračního testování webových aplikacíen
dc.title.alternativeWeb Application Penetration Testing Automationcs
dc.typeTextcs
dc.type.drivermasterThesisen
dc.type.evskpdiplomová prácecs
dcterms.dateAccepted2019-06-19cs
dcterms.modified2019-07-08-13:31:23cs
eprints.affiliatedInstitution.facultyFakulta informačních technologiícs
sync.item.dbid122008en
sync.item.dbtypeZPen
sync.item.insts2025.03.26 15:29:05en
sync.item.modts2025.01.15 12:50:36en
thesis.disciplineInformační systémycs
thesis.grantorVysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémůcs
thesis.levelInženýrskýcs
thesis.nameIng.cs
Files
Original bundle
Now showing 1 - 4 of 4
Thumbnail Image
Name:
final-thesis.pdf
Size:
1.15 MB
Format:
Adobe Portable Document Format
Description:
final-thesis.pdf
Download
Thumbnail Image
Name:
Posudek-Vedouci prace-21678_v.pdf
Size:
85.82 KB
Format:
Adobe Portable Document Format
Description:
Posudek-Vedouci prace-21678_v.pdf
Download
Thumbnail Image
Name:
Posudek-Oponent prace-21678_o.pdf
Size:
92.17 KB
Format:
Adobe Portable Document Format
Description:
Posudek-Oponent prace-21678_o.pdf
Download
Thumbnail Image
Name:
review_122008.html
Size:
1.45 KB
Format:
Hypertext Markup Language
Description:
file review_122008.html
Download
Collections
2019