Nástroje pro dynamickou bezpečnostní analýzu webových aplikací – Bc. Vojtěch Polášek

Abstract:

Tato práce se zabývá nástroji pro dynamickou bezpečnostní analýzu webových aplikací. Seznamuje čtenáře se čtrnácti nástroji rozdělených do čtyř kategorií: průzkumné nástroje, nástroje pro hledání specifických zranitelností, webové proxy zachytávající provoz, a komplexní webové skenery. Nástroje jsou porovnávány vzhledem k jejich funkcím, licenci, ceně, pokrytí zranitelností podle OWASP Top 10, a možnosti jejich integrace do prostředí Atlassian stack. Práce podrobněji zkoumá tři nástroje: Sqlmap, W3af, a Arachni. Pomocí těchto tří nástrojů byl proveden bezpečnostní audit záměrně zranitelných open-source webových aplikací a práce obsahuje výsledky tohoto auditu. …moreless

Abstract:

This thesis deals with tools for dynamic security analysis of web applications. It introduces 14 tools divided into 4 categories: reconnaissance tools, tools for discovery of specific vulnerabilities, intercepting web proxies, and complex vulnerability scanners. Tools are compared according to their features, licence, price, OWASP Top 10 coverage, and ability to be integrated into Atlassian stack. The thesis researches three selected tools in more details: Sqlmap, W3af, and Arachni. In the end, the thesis contains results produced by the three tools while performing audit of open-source deliberately vulnerable web applications. …moreless