Webová aplikace pro hodnocení nástrojů bezpečnostního testování

Bakalářská práce se zabývá návrhem vývoje a implementací úmyslně zranitelného prostředí ve formě webové aplikace. Výsledná webová aplikace obsahuje zranitelnosti napříč všemi kategoriemi projektu OWASP Top 10, konkrétně poté jeho verze z roku 2021 a je skrze ni možné měřit a porovnávat automatizované nástroje pro penetrační testování stejně jako nástroje pro statickou bezpečnostní analýzu zdrojového kódu. Práce je rozčleněna do pěti kapitol ve kterých je na úvod popsána organizace OWASP Foundation pod jejíž záštitou projekt OWASP funguje, dále je popsána analýza vybraných úmyslně zranitelných webových aplikací. Další kapitoly se poté věnují návrhu vlastní úmyslně zranitelné webové aplikace, kde jsou mimo jiné popsány technologie použité při vývoji stejně jako všechny zranitelnosti v aplikaci obsažené. V závěru práce je poté provedeno testování výsledné zranitelné aplikace pomocí výše zmíněných nástrojů a shrnutí výsledků, kterých bylo dosaženo. Mimo již výše zmíněné testování a porovnávání automatizovaných nástrojů z oblasti penetračního testování a statické analýzy může být aplikace využita rovněž k výukovým účelům a to především díky přiloženým opravám a referencím, které jsou součástí každé zranitelnosti v aplikaci obsažené.
The bachelor thesis focuses on the design, development, and implementation of an intentionally vulnerable environment in the form of a web application. The resulting web application encompasses vulnerabilities across categories outlined in the OWASP Top 10 project, specifically following its 2021 version. Through this application, it is possible to assess and compare automated tools for penetration testing, as well as tools for static code security analysis. The thesis is divided into five chapters. In the introduction, the OWASP Foundation, which oversees the OWASP project, is described. The analysis of selected intentionally vulnerable web applications is then presented. Subsequent chapters delve into the design of the custom intentionally vulnerable web application, detailing the technologies used in its development and outlining all vulnerabilities present in the application. In the conclusion of the thesis, testing of the resulting vulnerable application is conducted using the aforementioned tools, and a summary of the achieved results is provided. Apart from the aforementioned testing and comparison of automated tools in the fields of penetration testing and static analysis, the application can also be utilized for educational purposes. This is primarily facilitated by the attached fixes and explanations, which accompany each vulnerability within the application.

Citation

MORAVEC, V. Webová aplikace pro hodnocení nástrojů bezpečnostního testování [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.

Language of document

cs

Study field

bez specializace

Comittee

doc. Ing. Petr Mlýnek, Ph.D. (předseda) doc. Ing. Zdeněk Martinásek, Ph.D. (místopředseda) Ing. Lukáš Benešl (člen) Ing. Tomáš Lieskovan, Ph.D. (člen) Mgr. Jakub Vostoupal, Ph.D. (člen) Ing. Radek Hartman, MBA (člen) Ing. Ondřej Rášo, Ph.D. (člen)

Date of acceptance

2024-06-10

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci a odpověděl na otázky členů komise a oponenta. Otázky: Proč jste zvolil právě Python a Flask pro backend a PostgreSQL pro databázi? Jaké alternativy jste zvažoval a proč jste je nakonec nezvolil? Která z implementovaných zranitelností byla nejobtížnější k realizaci a proč? Zabezpečil jste výstupní kontejner? Jak to lze použít v praxi?

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení