Show simple item record

Security assessment of web application penetration testing tool



dc.contributor.advisorJoščák Daniel
dc.contributor.authorTomáš Stefan
dc.date.accessioned2021-01-29T23:51:56Z
dc.date.available2021-01-29T23:51:56Z
dc.date.issued2021-01-29
dc.identifierKOS-962290869205
dc.identifier.urihttp://hdl.handle.net/10467/92946
dc.description.abstractTématem předkládané práce je bezpečnostní analýza nástroje pro provádění penetračních testů - Burp Suite. V teoretické části práce je nejprve popsána samotná aplikace, její možnosti a základy běžného používání. Následuje vysvětlení fungování protokolu WebSockets. Praktická část se skládá z manuálního testování vybraných částí aplikace, automatizovaného skenování, vytvoření aplikace k provedení podrobné analýzy implementace WebSocket protokolu pomocí fuzzingu a nakonec prozkoumání síťového provozu, který Burp generuje na pozadí. Podařilo se nám najít několik drobných chyb, jako například webserver, který porušuje HTTP standard nebo nezdokumentované REST API volání. Navíc se povedlo rozklíčovat většinu síťového provozu, který Burp generuje a ověřit, že tento neobsahoval citlivá nebo podezřelá data.cze
dc.description.abstractThe subject of the presented thesis is a security evaluation of a penetration testing tool - Burp Suite. A theoretical part first describes the application, its features, and ordinary usage. Later, we explain how a WebSocket protocol works. The practical part consists of a manual evaluation of specific components of this application, running automated scans, developing a fuzzer application to make an in-depth analysis of the WebSocket implementation, and examining network traffic, which Burp generates in the background. We identified several minor flaws such as webserver violating the HTTP standard, or an undocumented REST API call. Moreover, we managed to decipher most of Burp's network traffic and verify that it does not contain sensitive or suspicious data.eng
dc.publisherČeské vysoké učení technické v Praze. Vypočetní a informační centrum.cze
dc.publisherCzech Technical University in Prague. Computing and Information Centre.eng
dc.rightsA university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmleng
dc.rightsVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.htmlcze
dc.subjectbezpečnostní analýzacze
dc.subjectpenetrační testovánícze
dc.subjectBurp Suitecze
dc.subjectwebcze
dc.subjectproxycze
dc.subjectsecurity assessmenteng
dc.subjectpenetration testingeng
dc.subjectBurp Suiteeng
dc.subjectwebeng
dc.subjectproxyeng
dc.titleBezpečnostní analýza nástroje pro penetrační testování webových aplikacícze
dc.titleSecurity assessment of web application penetration testing tooleng
dc.typediplomová prácecze
dc.typemaster thesiseng
dc.contributor.refereeKokeš Josef
theses.degree.disciplinePočítačová bezpečnostcze
theses.degree.grantorkatedra informační bezpečnosticze
theses.degree.programmeInformatikacze


Files in this item




This item appears in the following Collection(s)

Show simple item record