Bezpečnostní analýza nástroje pro penetrační testování webových aplikací
Security assessment of web application penetration testing tool
Typ dokumentu
diplomová prácemaster thesis
Autor
Tomáš Stefan
Vedoucí práce
Joščák Daniel
Oponent práce
Kokeš Josef
Studijní obor
Počítačová bezpečnostStudijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tématem předkládané práce je bezpečnostní analýza nástroje pro provádění penetračních testů - Burp Suite. V teoretické části práce je nejprve popsána samotná aplikace, její možnosti a základy běžného používání. Následuje vysvětlení fungování protokolu WebSockets. Praktická část se skládá z manuálního testování vybraných částí aplikace, automatizovaného skenování, vytvoření aplikace k provedení podrobné analýzy implementace WebSocket protokolu pomocí fuzzingu a nakonec prozkoumání síťového provozu, který Burp generuje na pozadí. Podařilo se nám najít několik drobných chyb, jako například webserver, který porušuje HTTP standard nebo nezdokumentované REST API volání. Navíc se povedlo rozklíčovat většinu síťového provozu, který Burp generuje a ověřit, že tento neobsahoval citlivá nebo podezřelá data. The subject of the presented thesis is a security evaluation of a penetration testing tool - Burp Suite. A theoretical part first describes the application, its features, and ordinary usage. Later, we explain how a WebSocket protocol works. The practical part consists of a manual evaluation of specific components of this application, running automated scans, developing a fuzzer application to make an in-depth analysis of the WebSocket implementation, and examining network traffic, which Burp generates in the background. We identified several minor flaws such as webserver violating the HTTP standard, or an undocumented REST API call. Moreover, we managed to decipher most of Burp's network traffic and verify that it does not contain sensitive or suspicious data.
Kolekce
- Diplomové práce - 18106 [115]