Zranitelná webová aplikace jako didaktická pomůcka

Abstract

Webové aplikace mohou obsahovat rozličné zranitelnosti. Při výuce penetračních testerů a vývojářů lze využít jako didaktické pomůcky záměrně zranitelné aplikace. V práci jsme se zaměřili na analýzu vybraných existujících aplikací. Kategorizovali a popsali jsme v nich obsažené zranitelnosti a identifikovali zranitelnosti chybějící. Následně jsme implementovali vlastní sadu realistických zranitelných aplikací pomocí frameworku Django. Student se v nich chová nejen jako útočník, ale i jako oběť. Díky tomu může lépe porozumět jednotlivým zranitelnostem, jejich průběhu a dopadu. Námi vytvořená didaktická pomůcka navíc obsahuje i některé zranitelnosti, které v analyzovaných aplikacích chybí. Na závěr jsme vytvořili návod pro použití pomůcky při výuce.Web applications may contain various vulnerabilities. Deliberately vulnerable applications can be used as teaching aid for penetration testers and developers. We focused on the analysis of selected existing applications. We categorized and described the vulnerabilities contained within them and also identified missing vulnerabilities. We have implemented our own set of realistic vulnerable applications using the Django framework. The student behaves in them not only as an attacker, but also as a victim. This enables students to better understand the individual vulnerabilities, their course and impact. Our teaching aid also contains some of the vulnerabilities that are missing in the analyzed applications. Finally, we have created a tutorial for using this teaching aid.