Nástroj pro penetrační testování aplikací

Abstract

Tato diplomová práce se zabývá automatizací penetračního testování webových aplikací. Cílem práce je zjistit aktuální úroveň automatizace v této oblasti a ověřit kvalitu nástrojů používaných pro detekci zranitelností webových aplikací. V práci jsou popsány experimenty, které v připravených prostředích testují schopnost vybraných skenerů zranitelností detekovat Cross Site Scripting zranitelnosti na vybraných webových aplikacích. Skenery Nikto a Wapiti detekují minimum zranitelností. Analýza síťového provozu a logů zjišťuje, že Nikto neprovádí crawling webu a Wapiti selhává, když web v průběhu testování přestane odpovídat. Nejlepších výsledků dosahuje skener ZAP, který ovšem nedetekuje zranitelnosti DOM XSS u funkcionalit, které využívají JavaScript kód. Hlavním výstupem práce je implementovaný fuzzer, jenž dokáže tento typ zranitelností detekovat.

This thesis deals with the automation process of web applications penetration testing. The main goal is to gather intelligence about the current level of automation in this area and to check the quality of the web application vulnerability scanners. The thesis presents several experiments focusing on a detection of the Cross Site Scripting vulnerabilities of the three testing web applications using selected vulnerability scanners. The Nikto and Wapiti scanners detect only a very small amount of vulnerabilities. The analysis of the network traffic and logs shows that the Nikto does not perform website crawling, and the Wapiti fails to detect if the tested web application stops responding during the testing process. The best results in the terms of Cross Site Scripting vulnerabilities detection are achieved with the ZAP scanner. However this scanner does not detect DOM XSS vulnerabilities of features that rely on a JavaScript code. The main output of the thesis is a custom fuzzer that is able to detect this type of vulnerabilities.