Porovnání nástrojů pro penetrační testování webových aplikací – Jan Černý

Anotace:

Cílem diplomové práce je porovnání nástrojů pro penetrační testování webových aplikací. Většina společností nedbá na zabezpečení svých webových aplikací a jedním z důvodů jsou náklady, které je potřeba vynaložit pro zvolení vhodného nástroje. Na základě této práce budou mít dostatečné podklady pro výběr správného nástroje pro svoje projekty. Zároveň je práce zaměřená na automatizaci, aby testování nebylo pouze jednorázové, ale trvale validovalo bezpečnost těchto projektů. Druhotným cílem práce je stanovit vhodná kritéria pro volbu nástrojů pro penetrační testování s ohledem na firmu a automatizaci. Na základě těchto kritérií bude mít společnost možnost objektivně vyhodnotit kvalitu dalších nástrojů. V rámci práce je využit laboratorní experiment na nástrojích. Prostředí pro testování aplikací je v práci detailně popsáno. Pro porovnání nástrojů je využita komparativní analýza. Pro testování jsou použity nástroje sqlmap, Wapiti, Burp Suite, W3af a Nessus Pro. V rámci testování bylo zjištěno, že Burp Suite je nejlepší z testovaných nástrojů, ale zároveň nejdražší. Druhým nástrojem, který již není tak spolehlivý, ale je zdarma pod licencí GNU v2 je W3af. Pro výběr správného nástroje je potřeba se prvně zamyslet nad potřebami bezpečnosti, které se váží k zabezpečované webové aplikaci. …víceméně

Abstract:

The aim of the master thesis is to compare tools for penetration testing of web. Most companie’s web applications do not have sufficient. One of the reasons of this are the costs of choosing the right tools. Based on this thesis they will have enough information for choosing the right tools for their projects. This work is focused on automation to avoid manual testing and the security of project will be granted in long term. Second aim of this work is to set up suitable criteria. The company will be able to objectively evaluate the quality of other instruments. The thesis includes a laboratory experiment on tools. Environment for testing is described in detail in the thesis. Comparative analysis is used for the comparison of the tools. The tested tools are sqlmap, Wapiti, Burp Suite, W3af and Nessus Pro. As part of the testing, it was stated that Burp Suite is the best of the tools tested, but also the most expensive. Another tool that is no longer so reliable but is free under the GNU v2 license is W3af. To choose the proper tools for the security of the project it is important to think about the requirements of the project. …víceméně