Web Application Penetration Testing

Česky
English

Thesis title:	Penetrační testování webových aplikací
Author:	Hric, Michal
Thesis type:	Diplomová práce
Supervisor:	Čermák, Igor
Opponents:	Hlaváč, Jindřich
Thesis language:	Česky
Abstract:	Cílem této práce bylo analyzovat úroveň zabezpečení vybraných open-source webových aplikací na základě penetračního testování provedeného v jednotlivých fázích testování definovaných metodikou PTES. Součástí cíle práce bylo použití nové metodiky PETA pro penetrační testování webové aplikace a vytvoření nových znalostních objektů zabývajících se penetračním testováním v portálu MBI. Testovány byly open-source webové aplikace Juice Shop, NodeGoat, XVWA a bWAPP. Zabezpečení všech testovaných webových aplikací bylo vyhodnoceno jako nedostatečné, jelikož byla identifikována alespoň jedna zranitelnost s vysokým rizikem zneužití u každé z testovaných aplikací. Ke každé nalezené zranitelnosti v aplikaci je uvedeno doporučené nápravné opatření pro eliminaci rizika spojeného s danou zranitelností. Při použití metodiky PETA pro penetrační testování bylo přínosem převážně integrování penetračního testování v rámci řízení IS/IT v organizaci na základě aplikace zúženého rámce pro řízení IS/IT. V závěru práce jsou uvedeny a popsány nově vytvořené znalostní objekty v portálu MBI. Vytvořené objekty zahrnují úlohu zabývající se průběhem penetračního testování, sadu metrik pro hodnocení úspěšnosti penetračního testování a role vázané k dané úloze.
Keywords:	MBI; útoky na webové aplikace; webové aplikace; penetrační testování; PTES; PETA; informační bezpečnost

Thesis title:	Web Application Penetration Testing
Author:	Hric, Michal
Thesis type:	Diploma thesis
Supervisor:	Čermák, Igor
Opponents:	Hlaváč, Jindřich
Thesis language:	Česky
Abstract:	The aim of the present thesis was to analyze the level of security of select open-source web applications based on penetration testing at various stages of testing, defined by the PTES methodology. This included application of new PETA methodology to perform web application penetration testing and the creation of new knowledge objects concerning penetration testing in the MBI portal. The open-source web applications Juice Shop, NodeGoat, XVWA and bWAPP were tested. The security of the web applications was evaluated as insufficient as at least one vulnerability with a high risk of exploitation was identified for each of the tested applications. For each vulnerability found in the application, recommended corrective measures to eliminate the associated risk is stated. When using the PETA methodology for penetration testing, the benefit was mainly in integrating of penetration testing in the context of IS/IT management in an organization based on application of the narrowed framework for IS/IT management. Finally, new knowledge objects in the MBI portal are listed and described. Objects created include a task concerning the process of penetration testing, a set of metrics for evaluating the success of penetration testing and roles linked to the task.
Keywords:	PTES; web applications; information security; MBI; web application attacks; penetration testing; PETA

Information about study

Study programme:	Aplikovaná informatika/Informační systémy a technologie
Type of study programme:	Magisterský studijní program
Assigned degree:	Ing.
Institutions assigning academic degree:	Vysoká škola ekonomická v Praze
Faculty:	Faculty of Informatics and Statistics
Department:	Department of Information Technologies

Information on submission and defense

Date of assignment:	16. 11. 2016
Date of submission:	30. 4. 2017
Date of defense:	1. 6. 2017
Identifier in the InSIS system:	https://insis.vse.cz/zp/60245/podrobnosti

Files for download

Main text
60245_xhrim06.pdf, 2.4 MB Download

Opponent's review
51519_Hlaváč.pdf, 199.8 kB Download

Supervisor's review
60245_cermaki.pdf, 356 kB Download