Detail práce

Web Application Penetration Testing Automation

Diplomová práce Student: Dušek Daniel Akademický rok: 2018/2019 Vedoucí: Pluskal Jan, Ing., Ph.D.
Název česky
Automatizace penetračního testování webových aplikací
Jazyk práce
anglický
Abstrakt

Tato práce má dva cíle - navrhnout obecně aplikovatelný přístup k penetračnímu testování webových aplikací, který bude využívat pouze nedestruktivních interakcí, a dále pak implementovat nástroj, který se tímto postupem bude řídit. Navrhovaný přístup má tři fáze - v první fázi tester posbírá požadavky pro testovací sezení (včetně požadavků na nedestruktivnost) a připraví si nástroje a postupy, kterých při testování využije, následně začne s průzkumem. V druhé fázi využije dodatečných nástrojů pro zpracování informací z předchozí fáze a pro ověření a odhalení zranitelností. Ve třetí fázi jsou všechny informace překovány ve zprávu o penetračním testování. Implementovaný nástroj je postavený na modulech, které jsou schopny odhalení reflektovaného XSS, serverových miskonfigurací, skrytých adresních parametrů a skrytých zajímavých souborů. V porovnání s komerčním nástrojem Acunetix je implementovaný nástroj srovnatelný v detekci reflektovaného XSS a lepší v detekci skrytých zajímavých souborů. Práce také originálně představuje nástroj pro sledování postranního kanálu Pastebin.com s cílem detekce utíkajících informací.

Klíčová slova

Penetrační testování, webové aplikace, automatizace, informační bezpečnost, veřejně přístupné informace, automatizované testování počítačové bezpečnosti.

Ústav
Ústav informačních systémů FIT VUT v Brně
Studijní program
Informační technologie, obor Informační systémy
Soubory
Stav
obhájeno, hodnocení A
Obhajoba
19. června 2019
Oponent
Polčák Libor, Ing., Ph.D.
Průběh obhajoby

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně.

Otázky u obhajoby
  1. Na CD se nachází adresář ReconJay/payloads obsahující databáze řetězců. Jde o dílo autora, nebo jsou řetězce převzaté?
  2. Jak moc jsou navržené a implementované algoritmy vlastním dílem a jak moc jsou čerpány odjinud?
  3. Jaká je budoucnost nástroje?
Komise
Kolář Dušan, doc. Dr. Ing. (UIFS FIT VUT), předseda
Češka Milan, prof. RNDr., CSc. (UITS FIT VUT), člen
Matoušek Petr, doc. Ing., Ph.D., M.A. (UIFS FIT VUT), člen
Pavlík Jan, Mgr., Ph.D. (UM OADM FSI VUT), člen
Rychlý Marek, RNDr., Ph.D. (UIFS FIT VUT), člen
Smrčka Aleš, Ing., Ph.D. (UITS FIT VUT), člen
Citace
DUŠEK, Daniel. Web Application Penetration Testing Automation. Brno, 2019. Diplomová práce. Vysoké učení technické v Brně, Fakulta informačních technologií. 2019-06-19. Vedoucí práce Pluskal Jan. Dostupné z: https://www.fit.vut.cz/study/thesis/21678/
BibTeX 
@mastersthesis{FITMT21678,
    author = "Daniel Du\v{s}ek",
    type = "Diplomov\'{a} pr\'{a}ce",
    title = "Web Application Penetration Testing Automation",
    school = "Vysok\'{e} u\v{c}en\'{i} technick\'{e} v Brn\v{e}, Fakulta informa\v{c}n\'{i}ch technologi\'{i}",
    year = 2019,
    location = "Brno, CZ",
    language = "english",
    url = "https://www.fit.vut.cz/study/thesis/21678/"
}

Závěrečné práce

Nahoru