Cílem této práce je přiblížení bezpečnostních testů webových aplikací. V teoretické části jsou popsané základní koncepty, které jsou jádrem k pochopení podstaty bezpečnostních testů. Obsahuje vysvětlení pojmů jako hrozby, dopady, rizika nebo zranitelnosti. V práci je popsáno i dělení a doporučené metody související s bezpečnostními testy.
Praktická část aplikuje a zužitkovává teoretické poznatky injektování, chybné autentizace a správy relace, Cross-Site Scripting (XSS), nezabezpečeného přímého odkazu na objekt, ne-zabezpečené konfigurace, expozice citlivých dat, chyb v řízení úrovní přístupů, Cross-Site Request Forgery (CSRF), použití známých zranitelností komponent, neošetřeného přesměro-vání a předávání.
Anotace v angličtině
This work deals with security tests of web technologies. The theoretical part describes basic concepts, threats, impacts, risks, vulnerabilities, methods and procedures related to safety tests. In the practical part, theoretical knowledge and proven injection methods, malicious authentication and session management, Cross-Site Scripting (XSS), unsecured direct object reference, unsecured configuration, sensitive data exposure, access control levels, CSRF, the use of known component vulnerabilities, untreated redirects and relaying.
Cílem této práce je přiblížení bezpečnostních testů webových aplikací. V teoretické části jsou popsané základní koncepty, které jsou jádrem k pochopení podstaty bezpečnostních testů. Obsahuje vysvětlení pojmů jako hrozby, dopady, rizika nebo zranitelnosti. V práci je popsáno i dělení a doporučené metody související s bezpečnostními testy.
Praktická část aplikuje a zužitkovává teoretické poznatky injektování, chybné autentizace a správy relace, Cross-Site Scripting (XSS), nezabezpečeného přímého odkazu na objekt, ne-zabezpečené konfigurace, expozice citlivých dat, chyb v řízení úrovní přístupů, Cross-Site Request Forgery (CSRF), použití známých zranitelností komponent, neošetřeného přesměro-vání a předávání.
Anotace v angličtině
This work deals with security tests of web technologies. The theoretical part describes basic concepts, threats, impacts, risks, vulnerabilities, methods and procedures related to safety tests. In the practical part, theoretical knowledge and proven injection methods, malicious authentication and session management, Cross-Site Scripting (XSS), unsecured direct object reference, unsecured configuration, sensitive data exposure, access control levels, CSRF, the use of known component vulnerabilities, untreated redirects and relaying.
Cílem BP je vytvořit testové úlohy zaměřené na zjištění slabých míst v zabezpečení webových aplikací. V teoretické části autor popíše: základní pojmy, hrozby, dopady, rizika, zranitelnosti, metody a postupy související s bezpečnostními testy. Praktická části BP bude aplikovat teoretické poznatky a pokryje následující oblasti:
injektování
chybná autentizace a správa relace
Cross-Site Scripting (XSS)
nezabezpečený přímý odkaz na objekt
nezabezpečená konfigurace
expozice citlivých dat
chyby v řízení úrovní přístupů
Cross-Site Request Forgery (CSRF)
použití známých zranitelností komponent
neošetřená přesměrování a předávání
Jednotlivé testy budou podrobně a návodně popsány a budou realizovány na vybrané webové aplikaci v právně bezpečném prostředí.
Zásady pro vypracování
Cílem BP je vytvořit testové úlohy zaměřené na zjištění slabých míst v zabezpečení webových aplikací. V teoretické části autor popíše: základní pojmy, hrozby, dopady, rizika, zranitelnosti, metody a postupy související s bezpečnostními testy. Praktická části BP bude aplikovat teoretické poznatky a pokryje následující oblasti:
injektování
chybná autentizace a správa relace
Cross-Site Scripting (XSS)
nezabezpečený přímý odkaz na objekt
nezabezpečená konfigurace
expozice citlivých dat
chyby v řízení úrovní přístupů
Cross-Site Request Forgery (CSRF)
použití známých zranitelností komponent
neošetřená přesměrování a předávání
Jednotlivé testy budou podrobně a návodně popsány a budou realizovány na vybrané webové aplikaci v právně bezpečném prostředí.
Seznam doporučené literatury
SULLIVAN, Bryan a Vincent LIU. Web application security: a beginner's guide. New York: McGraw-Hill, c2012. ISBN 978-007-1776-165.
\medskip
YATES, Anthony. The Owasp Handbook - Everything You Need to Know about Owasp. Emereo Publishing, 2016. ISBN 1489135227.
\medskip
STUTTARD, Dafydd a Marcus PINTO. The web application hacker's handbook: finding and exploiting security flaws. 2nd ed. Chichester: John Wiley [distributor], c2011. ISBN 978-111-8026-472.
Seznam doporučené literatury
SULLIVAN, Bryan a Vincent LIU. Web application security: a beginner's guide. New York: McGraw-Hill, c2012. ISBN 978-007-1776-165.
\medskip
YATES, Anthony. The Owasp Handbook - Everything You Need to Know about Owasp. Emereo Publishing, 2016. ISBN 1489135227.
\medskip
STUTTARD, Dafydd a Marcus PINTO. The web application hacker's handbook: finding and exploiting security flaws. 2nd ed. Chichester: John Wiley [distributor], c2011. ISBN 978-111-8026-472.
Přílohy volně vložené
-
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Cílem této práce bylo představení základních bezpečnostních testů webových aplikací.
Práce je logicky rozdělena do dvou částí. První část přehledně seznamuje s problematikou z oblasti bezpečnosti webových aplikací a dalšími základními pojmy. V druhé části v jednotlivých podkapitolách jsou pomocí užitečných nástrojů vysvětleny jednotlivé techniky, které vedou k nalezení slabých míst webových aplikací. Výsledky práce umožňují dozvědět se více o bezpečnostních problémech spojených s webovými aplikacemi. Bakalářská práce splnila zadání.
Položené otázky byly odpovězeny k spokojenosti komise. Bakalářská práce byla zpracována požadované úrovni. Autorka práce vysvětlila připomínky členů komise.
Kontrola plagiátorství neukázala žádné významné shody s jinými dostupnými zdroji.
Práce byla zkontrolována v systému IS/STAG, dle hodnocení komise nejeví známky plagiátorství.