Porovnání nástrojů pro penetrační testování webových aplikací
| Název práce: | Porovnání nástrojů pro penetrační testování webových aplikací |
|---|---|
| Autor(ka) práce: | Černý, Jan |
| Typ práce: | Diplomová práce |
| Vedoucí práce: | Pavlíček, Luboš |
| Oponenti práce: | Strnad, Pavel |
| Jazyk práce: | Česky |
| Abstrakt: | Cílem diplomové práce je porovnání nástrojů pro penetrační testování webových aplikací. Většina společností nedbá na zabezpečení svých webových aplikací a jedním z důvodů jsou náklady, které je potřeba vynaložit pro zvolení vhodného nástroje. Na základě této práce budou mít dostatečné podklady pro výběr správného nástroje pro svoje projekty. Zároveň je práce zaměřená na automatizaci, aby testování nebylo pouze jednorázové, ale trvale validovalo bezpečnost těchto projektů. Druhotným cílem práce je stanovit vhodná kritéria pro volbu nástrojů pro penetrační testování s ohledem na firmu a automatizaci. Na základě těchto kritérií bude mít společnost možnost objektivně vyhodnotit kvalitu dalších nástrojů. V rámci práce je využit laboratorní experiment na nástrojích. Prostředí pro testování aplikací je v práci detailně popsáno. Pro porovnání nástrojů je využita komparativní analýza. Pro testování jsou použity nástroje sqlmap, Wapiti, Burp Suite, W3af a Nessus Pro. V rámci testování bylo zjištěno, že Burp Suite je nejlepší z testovaných nástrojů, ale zároveň nejdražší. Druhým nástrojem, který již není tak spolehlivý, ale je zdarma pod licencí GNU v2 je W3af. Pro výběr správného nástroje je potřeba se prvně zamyslet nad potřebami bezpečnosti, které se váží k zabezpečované webové aplikaci. |
| Klíčová slova: | penetrační test; hacking; nástroj pro penetrační testování; skener zranitelností webových aplikací; OWASP; kritéria |
| Název práce: | Comparison of tools for penetration testing of web application |
|---|---|
| Autor(ka) práce: | Černý, Jan |
| Typ práce: | Diploma thesis |
| Vedoucí práce: | Pavlíček, Luboš |
| Oponenti práce: | Strnad, Pavel |
| Jazyk práce: | Česky |
| Abstrakt: | The aim of the master thesis is to compare tools for penetration testing of web. Most companie’s web applications do not have sufficient. One of the reasons of this are the costs of choosing the right tools. Based on this thesis they will have enough information for choosing the right tools for their projects. This work is focused on automation to avoid manual testing and the security of project will be granted in long term. Second aim of this work is to set up suitable criteria. The company will be able to objectively evaluate the quality of other instruments. The thesis includes a laboratory experiment on tools. Environment for testing is described in detail in the thesis. Comparative analysis is used for the comparison of the tools. The tested tools are sqlmap, Wapiti, Burp Suite, W3af and Nessus Pro. As part of the testing, it was stated that Burp Suite is the best of the tools tested, but also the most expensive. Another tool that is no longer so reliable but is free under the GNU v2 license is W3af. To choose the proper tools for the security of the project it is important to think about the requirements of the project. |
| Klíčová slova: | enetration test; vulnerability scanner of web application; OWASP; criterion; hacking; tools for penetration testing |
Informace o studiu
| Studijní program / obor: | Aplikovaná informatika/Informační systémy a technologie |
|---|---|
| Typ studijního programu: | Magisterský studijní program |
| Přidělovaná hodnost: | Ing. |
| Instituce přidělující hodnost: | Vysoká škola ekonomická v Praze |
| Fakulta: | Fakulta informatiky a statistiky |
| Katedra: | Katedra informačních technologií |
Informace o odevzdání a obhajobě
| Datum zadání práce: | 13. 3. 2018 |
|---|---|
| Datum podání práce: | 25. 4. 2019 |
| Datum obhajoby: | 5. 6. 2019 |
| Identifikátor v systému InSIS: | https://insis.vse.cz/zp/65397/podrobnosti |