Effective Implementation of Penetration Testing in Small and Medium-sized Enterprises: Analysis of Methodologies and Tools

Thesis title: Efektivní implementace penetračního testování v malých a středních podnicích: Analýza metodik a nástrojů
Author: Caldr, Dan
Thesis type: Bakalářská práce
Supervisor: Doucek, Petr
Opponents: Klíma, Tomáš
Thesis language: Česky
Abstract:
Penetrační testování představuje nástroj pro ověřování bezpečnosti digitálních systémů, jeho efektivní implementace však pro malé a střední podniky (MSP) zůstává výzvou, často kvůli omezeným finančním a personálním zdrojům či nedostatečnému povědomí o relevantních kybernetických rizicích. Práce se zaměřuje na MSP dodávající e-shopová řešení a provádí systematickou analýzu čtyř metodik - NIST SP 800-115, PTES, OSSTMM a OWASP WSTG - z hlediska jejich aktuálnosti, flexibility, nákladovosti a komplexnosti pokrytí jednotlivých fází penetračního testování s ohledem na specifika MSP. Výsledky komparativní analýzy ukazují, že pro tyto MSP je nejvhodnější kombinace procesního rámce PTES pro plánování a reporting s technickými postupy OWASP WSTG pro testování webových aplikací, jelikož žádná samostatná metodika plně nevyhovuje. Praktická případová studie na platformě OWASP Juice Shop potvrdila efektivitu navrženého přístupu identifikací osmi zranitelností, včetně dvou kritických, ale zároveň poukázala na obtížnost objektivního ověření úplnosti provedených testů, což představuje obecnější problém v této oblasti. Přehled dostupných nástrojů a doporučený metodický postup nabízí MSP vyvíjejícím e-shopy praktický návod pro systematické zlepšování kybernetické bezpečnosti jejich produktů.
Keywords: Penetrační testování; E-commerce platformy; Kybernetická bezpečnost; Malé a střední podniky (MSP); Metodiky penetračního testování
Thesis title: Effective Implementation of Penetration Testing in Small and Medium-sized Enterprises: Analysis of Methodologies and Tools
Author: Caldr, Dan
Thesis type: Bachelor thesis
Supervisor: Doucek, Petr
Opponents: Klíma, Tomáš
Thesis language: Česky
Abstract:
Penetration testing is a tool for verifying the security of digital systems, yet its effective implementation remains a challenge for small and medium-sized enterprises (SMEs), often due to limited financial and personnel resources or insufficient awareness of relevant cybersecurity risks. This work focuses on SMEs supplying e-shop solutions and performs a systematic analysis of four methodologies - NIST SP 800-115, PTES, OSSTMM, and OWASP WSTG, evaluating their actuality, flexibility, cost-effectiveness, and the comprehensiveness of penetration testing phase coverage considering SME specifics. The results of the comparative analysis indicate that the most suitable approach for these SMEs is a combination of the PTES process framework for planning and reporting with the technical procedures of OWASP WSTG for web application testing, as no single methodology is fully adequate. A practical case study on the OWASP Juice Shop platform confirmed the effectiveness of the proposed approach by identifying eight vulnerabilities, including two critical ones, while also highlighting the difficulty of objectively verifying the completeness of the tests performed, which represents a more general problem in this area. The overview of available tools and the recommended methodological procedure offers SMEs developing e-shops practical guidance for systematically improving the cybersecurity of their products.
Keywords: Small and medium-sized enterprises (SME); Penetration testing; Penetration testing methodologies; Cybersecurity; E-commerce platforms

Information about study

Study programme: Aplikovaná informatika
Type of study programme: Bakalářský studijní program
Assigned degree: Bc.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Systems Analysis

Information on submission and defense

Date of assignment: 4. 2. 2025
Date of submission: 12. 5. 2025
Date of defense: 17. 6. 2025
Identifier in the InSIS system: https://insis.vse.cz/zp/91254/podrobnosti

Files for download

Main text
91254_cald01.pdf, 724.7 kB Download
Opponent's review
86428_xklit10.pdf, 113.2 kB Download
Supervisor's review
91254_doucek.pdf, 113.5 kB Download
    Last update: