Nástroj pro penetrační testování aplikačního serveru

Thumbnail Image
Files
final-thesis.pdf(2.54 MB)
appendix-1.zip(2.58 MB)
review_159237.html(5.28 KB)
Date
Authors
Vašíček, Tomáš
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Tato diplomová práce se zabývá problematikou penetračního testování aplikačních protokolů. V rámci práce jsou představeny aplikační protokoly FTP, SSH, SMTP, POP3 a IMAP a jsou prozkoumány jejich možné zranitelnosti. Informace o zranitelnostech jsou získávány z veřejně dostupných sbírek typu HackTricks a The Hacker Recipes, ale rovněž vlastním studiem RFC dokumentů jednotlivých protokolů. Na základě nalezených zranitelností jsou sestrojeny kontrolní seznamy sloužící pro návodné provedení penetračního testera procesem testování daného protokolu. Hlavním přínosem práce je vývoj modulárního automatizovaného nástroje ptapptest a dalšího pomocného nástroje ptntlmauth, které slouží pro penetrační testování zmíněných aplikačních protokolů. Závěrem práce je provedeno testování nástroje ptapptest na reálných aplikačních serverech, které byly nalezeny pomocí vyhledávače Shodan.
This thesis explores the field of penetration testing of application protocols. The thesis introduces the application protocols FTP, SSH, SMTP, POP3 and IMAP and explores their possible vulnerabilities. Information about vulnerabilities is obtained from publicly available collections such as HackTricks and The Hacker Recipes, but also by studying the RFC documents of each protocol. Based on the vulnerabilities found, penetration testing checklists are constructed to provide guidance through the process of testing a given protocol. The main contribution of the work is the development of a modular automated tool ptapptest and another auxiliary tool ptntlmauth, which are used for penetration testing of the mentioned application protocols. Finally, the thesis concludes by testing the ptapptest tool on application servers discovered using the Shodan search engine.
Description
Keywords
FTP, IMAP, POP3, Penterep, Python, SMTP, SSH, aplikační protokol, penetrační testování, ptapptest, ptntlmauth, FTP, IMAP, POP3, Penterep, Python, SMTP, SSH, application protocol, penetration testing, ptapptest, ptntlmauth
Citation
VAŠÍČEK, T. Nástroj pro penetrační testování aplikačního serveru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
bez specializace
Comittee
doc. Ing. Petr Číka, Ph.D. (předseda) doc. Ing. Zdeněk Martinásek, Ph.D. (místopředseda) Ing. František Urban, Ph.D. (člen) Ing. Petr Ilgner (člen) Ing. Vlastimil Člupek, Ph.D. (člen) Ing. Pavel Paluřík (člen) Mgr. Tereza Novotná, Ph.D. (člen)
Date of acceptance
2024-06-06
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta: V souboru test.py jsou napevno uvedeny porty pro jednotlivé protokoly aplikační vrstvy (např. protokol ssh; port 22), umožňuje Vaše aplikace v současném stavu nastavit, bez nutnosti změny kódu, porty pro jednotlivé protokoly? Jaké rozšíření do budoucna očekáváte ve Vámi vyvinutém softwarovém nástroji? Otázky komise: Využívaná databáze zranitelnosti byla použita jedna nebo více? Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/246115
Collections
2024
Citace PRO