Vývoj nástroje na automatizované penetrační testování webových aplikací

Název práce: Vývoj nástroje na automatizované penetrační testování webových aplikací
Autor(ka) práce: Kiezler, Tomáš
Typ práce: Bakalářská práce
Vedoucí práce: Hradil, Jiří
Oponenti práce: Pavlíček, Luboš
Jazyk práce: Česky
Abstrakt:
Tato práce se zabývá bezpečností webových aplikací, která může být měřena výsledky penetračního testování. V teoretické části jsou popsány jednotlivé metody, kterými je možné testování provádět, předloženy výhody a nevýhody oproti manuálnímu testování a zhodnoceny nástroje, které mají integrováno automatické skenování zabezpečení webových aplikací. Součástí jsou též statistiky výskytu rizik v prostředí českého internetu. V praktické části je popsán vývoj vlastního nástroje na automatizované testování v nejběžněji se vyskytujícím programovacím jazyce v oblasti webových aplikací, který bude schopen odhalovat nejčastěji se vyskytující slabiny. Nástroj je vyvíjen na poukázání možností, jak daná rizika odhalovat a zdali je to vůbec automatizovaně možné. Práce má za úkol vzdělat čtenáře v oblasti bezpečnosti webových stránek, objasnit legálnost penetračního testování a seznámit ho s možnostmi, jak najít a řešit bezpečnostní rizika a jak se jich při vývoji vyvarovat.
Klíčová slova: penetrační testování; pentesty; rizika; slabiny; black box metoda; PHP; automatizace; zranitelnosti; OWASP; bezpečnost; penetrační testy; fuzz testování; CWE; webové aplikace
Název práce: Tool creation for an automated penetration testing of web applications
Autor(ka) práce: Kiezler, Tomáš
Typ práce: Bachelor thesis
Vedoucí práce: Hradil, Jiří
Oponenti práce: Pavlíček, Luboš
Jazyk práce: Česky
Abstrakt:
This thesis focuses on security of web applications, which can be measured by the results of penetration testing. In the theoretical section of this study individual methods of how the testing can be performed are outlined. This study then outlines the advantages and disadvantages of automated testing compared to manual testing, and the tools which incorporate automated scanning for security of web applications are scrutinized. Statistics of security risk occurrences found on the Czech Internet are also included. The practical part depicts the creation of a tool for automated testing, written in the most frequently used programming language in web development, that will be able to detect the most common weaknesses. The tool is developed to show ways of detecting certain risks and to inspect whether it is possible to automate the search. The primary aim of this study is to introduce the reader to the field of security of web applications, present to them the legality of penetration testing and introduce them to options of finding and fixing security risks and avoiding them in web development.
Klíčová slova: penetration testing; web applications; pentests; penetration tests; weaknesses; fuzz testing; vulnerabilities; PHP; risks; CWE; automation; OWASP; security; black box method

Informace o studiu

Studijní program / obor: Aplikovaná informatika/Informatika
Typ studijního programu: Bakalářský studijní program
Přidělovaná hodnost: Bc.
Instituce přidělující hodnost: Vysoká škola ekonomická v Praze
Fakulta: Fakulta informatiky a statistiky
Katedra: Katedra informačního a znalostního inženýrství

Informace o odevzdání a obhajobě

Datum zadání práce: 2. 2. 2016
Datum podání práce: 1. 5. 2016
Datum obhajoby: 20. 6. 2016
Identifikátor v systému InSIS: https://insis.vse.cz/zp/55987/podrobnosti

Soubory ke stažení

    Poslední aktualizace: