Penetrační testování webových aplikací – Michal Hric

Abstract:

Cílem této práce bylo analyzovat úroveň zabezpečení vybraných open-source webových aplikací na základě penetračního testování provedeného v jednotlivých fázích testování definovaných metodikou PTES. Součástí cíle práce bylo použití nové metodiky PETA pro penetrační testování webové aplikace a vytvoření nových znalostních objektů zabývajících se penetračním testováním v portálu MBI. Testovány byly open-source webové aplikace Juice Shop, NodeGoat, XVWA a bWAPP. Zabezpečení všech testovaných webových aplikací bylo vyhodnoceno jako nedostatečné, jelikož byla identifikována alespoň jedna zranitelnost s vysokým rizikem zneužití u každé z testovaných aplikací. Ke každé nalezené zranitelnosti v aplikaci je uvedeno doporučené nápravné opatření pro eliminaci rizika spojeného s danou zranitelností. Při použití metodiky PETA pro penetrační testování bylo přínosem převážně integrování penetračního testování v rámci řízení IS/IT v organizaci na základě aplikace zúženého rámce pro řízení IS/IT. V závěru práce jsou uvedeny a popsány nově vytvořené znalostní objekty v portálu MBI. Vytvořené objekty zahrnují úlohu zabývající se průběhem penetračního testování, sadu metrik pro hodnocení úspěšnosti penetračního testování a role vázané k dané úloze. …moreless

Abstract:

The aim of the present thesis was to analyze the level of security of select open-source web applications based on penetration testing at various stages of testing, defined by the PTES methodology. This included application of new PETA methodology to perform web application penetration testing and the creation of new knowledge objects concerning penetration testing in the MBI portal. The open-source web applications Juice Shop, NodeGoat, XVWA and bWAPP were tested. The security of the web applications was evaluated as insufficient as at least one vulnerability with a high risk of exploitation was identified for each of the tested applications. For each vulnerability found in the application, recommended corrective measures to eliminate the associated risk is stated. When using the PETA methodology for penetration testing, the benefit was mainly in integrating of penetration testing in the context of IS/IT management in an organization based on application of the narrowed framework for IS/IT management. Finally, new knowledge objects in the MBI portal are listed and described. Objects created include a task concerning the process of penetration testing, a set of metrics for evaluating the success of penetration testing and roles linked to the task. …moreless