Bezpečnostní audit portálu LearnShell

Abstract

Tato bakalářská práce se zabývá hledáním bezpečnostních zranitelností aplikace LearnShell, která je vyvíjena na FIT ČVUT v Praze. K nalezení těchto zranitelností slouží metodiky penetračního testování, které se odlišují na základě dané komponenty, pro niž je test prováděn. Tyto metodiky popisuje rešeršní část práce. Provedený penetrační test odhaluje zranitelnosti a způsoby jejich zneužití útočníkem. Výsledky této práce umožňují snadné identifikování bezpečnostních zranitelností, které LearnShell obsahuje, a jejich eliminaci. Přínos je tedy především pro vývojáře a administrátory testované aplikace. Může však posloužit i jako podklad pro začínající penetrační testery, jelikož jsou zde ukázány příklady testování zranitelností na reálné aplikaci. Na závěr práce jsou uvedeny doporučení na provedení náprav pro zranitelnosti se středním či vyšším stupněm závažnosti.

The aim of this bachelor thesis is to search for security vulnerabilities in the LearnShell application, which is being developed at the FIT CTU in Prague. To find these vulnerabilities, penetration testing methodologies have been used. Those differ based on the component the test is performed on. The methodologies are described in the theoretical part of this thesis. The penetration test which has been performed reveals vulnerabilities and the ways they can be exploited by an attacker. The results of this thesis facilitate the identification and elimination of security vulnerabilities in the LearnShell application. The benefit is mainly for developers and administrators of the application. However, the thesis can also serve as a source for penetration testers, as it includes examples of vulnerabilities testing conducted on a real-world application. Finally, the thesis makes recommendations on how to correct medium or high-severity vulnerabilities.