Zobrazit minimální záznam

Nástroj pro penetrační testování aplikací

dc.contributor.advisorPlucar, Jan
dc.contributor.authorBajer, Stanislav
dc.date.accessioned2024-06-27T17:25:58Z
dc.date.available2024-06-27T17:25:58Z
dc.date.issued2024
dc.identifier.otherOSD002
dc.identifier.urihttp://hdl.handle.net/10084/153877
dc.description.abstractTato diplomová práce se zabývá automatizací penetračního testování webových aplikací. Cílem práce je zjistit aktuální úroveň automatizace v této oblasti a ověřit kvalitu nástrojů používaných pro detekci zranitelností webových aplikací. V práci jsou popsány experimenty, které v připravených prostředích testují schopnost vybraných skenerů zranitelností detekovat Cross Site Scripting zranitelnosti na vybraných webových aplikacích. Skenery Nikto a Wapiti detekují minimum zranitelností. Analýza síťového provozu a logů zjišťuje, že Nikto neprovádí crawling webu a Wapiti selhává, když web v průběhu testování přestane odpovídat. Nejlepších výsledků dosahuje skener ZAP, který ovšem nedetekuje zranitelnosti DOM XSS u funkcionalit, které využívají JavaScript kód. Hlavním výstupem práce je implementovaný fuzzer, jenž dokáže tento typ zranitelností detekovat.cs
dc.description.abstractThis thesis deals with the automation process of web applications penetration testing. The main goal is to gather intelligence about the current level of automation in this area and to check the quality of the web application vulnerability scanners. The thesis presents several experiments focusing on a detection of the Cross Site Scripting vulnerabilities of the three testing web applications using selected vulnerability scanners. The Nikto and Wapiti scanners detect only a very small amount of vulnerabilities. The analysis of the network traffic and logs shows that the Nikto does not perform website crawling, and the Wapiti fails to detect if the tested web application stops responding during the testing process. The best results in the terms of Cross Site Scripting vulnerabilities detection are achieved with the ZAP scanner. However this scanner does not detect DOM XSS vulnerabilities of features that rely on a JavaScript code. The main output of the thesis is a custom fuzzer that is able to detect this type of vulnerabilities.en
dc.format.extent14768067 bytes
dc.format.mimetypeapplication/pdf
dc.language.isocs
dc.publisherVysoká škola báňská – Technická univerzita Ostravacs
dc.subjectautomatizace penetračního testovánícs
dc.subjectCross Site Scriptingcs
dc.subjectwebové aplikacecs
dc.subjectCross Site Scriptingen
dc.subjectpenetration testing automationen
dc.subjectweb applicationen
dc.titleNástroj pro penetrační testování aplikacícs
dc.title.alternativePenetration Testing Toolsen
dc.typeDiplomová prácecs
dc.contributor.refereeSzczypka, Miloslav
dc.date.accepted2024-06-05
dc.thesis.degree-nameIng.
dc.thesis.degree-levelMagisterský studijní programcs
dc.thesis.degree-grantorVysoká škola báňská – Technická univerzita Ostrava. Fakulta elektrotechniky a informatikycs
dc.description.department460 - Katedra informatikycs
dc.thesis.degree-programInformační a komunikační bezpečnostcs
dc.description.resultvýborněcs
dc.identifier.senderS2724
dc.identifier.thesisBAJ0088_FEI_N0612A140004_2024
dc.rights.accessopenAccess


Soubory tohoto záznamu

Název:
BAJ0088_FEI_N0612A140004_2024.pdf
Velikost:
14.08Mb
Formát:
PDF
Popis:
Text práce
Zobrazit/otevřít
Název:
BAJ0088_FEI_N0612A140004_2024_ ...
Velikost:
124.0Kb
Formát:
PDF
Popis:
Zadání
Zobrazit/otevřít
Název:
BAJ0088_FEI_N0612A140004_2024_ ...
Velikost:
5.961Mb
Formát:
Neznámý
Popis:
Příloha
Zobrazit/otevřít
Název:
BAJ0088_FEI_N0612A140004_2024_ ...
Velikost:
146Kb
Formát:
PDF
Popis:
Posudek vedoucího – Plucar, Jan
Zobrazit/otevřít
Název:
BAJ0088_FEI_N0612A140004_2024_ ...
Velikost:
145.8Kb
Formát:
PDF
Popis:
Posudek oponenta – Szczypka, ...
Zobrazit/otevřít

Tento záznam se objevuje v následujících kolekcích

Zobrazit minimální záznam