Comparison of tools for penetration testing of web application
Thesis title: | Porovnání nástrojů pro penetrační testování webových aplikací |
---|---|
Author: | Černý, Jan |
Thesis type: | Diplomová práce |
Supervisor: | Pavlíček, Luboš |
Opponents: | Strnad, Pavel |
Thesis language: | Česky |
Abstract: | Cílem diplomové práce je porovnání nástrojů pro penetrační testování webových aplikací. Většina společností nedbá na zabezpečení svých webových aplikací a jedním z důvodů jsou náklady, které je potřeba vynaložit pro zvolení vhodného nástroje. Na základě této práce budou mít dostatečné podklady pro výběr správného nástroje pro svoje projekty. Zároveň je práce zaměřená na automatizaci, aby testování nebylo pouze jednorázové, ale trvale validovalo bezpečnost těchto projektů. Druhotným cílem práce je stanovit vhodná kritéria pro volbu nástrojů pro penetrační testování s ohledem na firmu a automatizaci. Na základě těchto kritérií bude mít společnost možnost objektivně vyhodnotit kvalitu dalších nástrojů. V rámci práce je využit laboratorní experiment na nástrojích. Prostředí pro testování aplikací je v práci detailně popsáno. Pro porovnání nástrojů je využita komparativní analýza. Pro testování jsou použity nástroje sqlmap, Wapiti, Burp Suite, W3af a Nessus Pro. V rámci testování bylo zjištěno, že Burp Suite je nejlepší z testovaných nástrojů, ale zároveň nejdražší. Druhým nástrojem, který již není tak spolehlivý, ale je zdarma pod licencí GNU v2 je W3af. Pro výběr správného nástroje je potřeba se prvně zamyslet nad potřebami bezpečnosti, které se váží k zabezpečované webové aplikaci. |
Keywords: | penetrační test; hacking; nástroj pro penetrační testování; skener zranitelností webových aplikací; OWASP; kritéria |
Thesis title: | Comparison of tools for penetration testing of web application |
---|---|
Author: | Černý, Jan |
Thesis type: | Diploma thesis |
Supervisor: | Pavlíček, Luboš |
Opponents: | Strnad, Pavel |
Thesis language: | Česky |
Abstract: | The aim of the master thesis is to compare tools for penetration testing of web. Most companie’s web applications do not have sufficient. One of the reasons of this are the costs of choosing the right tools. Based on this thesis they will have enough information for choosing the right tools for their projects. This work is focused on automation to avoid manual testing and the security of project will be granted in long term. Second aim of this work is to set up suitable criteria. The company will be able to objectively evaluate the quality of other instruments. The thesis includes a laboratory experiment on tools. Environment for testing is described in detail in the thesis. Comparative analysis is used for the comparison of the tools. The tested tools are sqlmap, Wapiti, Burp Suite, W3af and Nessus Pro. As part of the testing, it was stated that Burp Suite is the best of the tools tested, but also the most expensive. Another tool that is no longer so reliable but is free under the GNU v2 license is W3af. To choose the proper tools for the security of the project it is important to think about the requirements of the project. |
Keywords: | enetration test; vulnerability scanner of web application; OWASP; criterion; hacking; tools for penetration testing |
Information about study
Study programme: | Aplikovaná informatika/Informační systémy a technologie |
---|---|
Type of study programme: | Magisterský studijní program |
Assigned degree: | Ing. |
Institutions assigning academic degree: | Vysoká škola ekonomická v Praze |
Faculty: | Faculty of Informatics and Statistics |
Department: | Department of Information Technologies |
Information on submission and defense
Date of assignment: | 13. 3. 2018 |
---|---|
Date of submission: | 25. 4. 2019 |
Date of defense: | 5. 6. 2019 |
Identifier in the InSIS system: | https://insis.vse.cz/zp/65397/podrobnosti |