Security Analysis of Data Stewardship Wizard Project

Abstract

Tato práce přináší hloubkovou bezpečnostní analýzu Data Stewardship Wizard (DSW), open-source nástroje určeného pro efektivní plánování správy dat. Hlavním cílem této studie bylo určit a posoudit potenciální bezpečnostní zranitelnosti v nástroji DSW a také posoudit robustnost jeho současných bezpečnostních protokolů. Prostřednictvím kombinace ručního zkoumání, penetračního testování a technik skenování zranitelností byla odhalena řada bezpečnostních problémů. Patří mezi ně zranitelnosti související se slabými zásadami přihlašovacích údajů, zranitelnost systému vůči útokům hrubou silou a rizika spojená s injekcí šablon na straně serveru. Výsledky výzkumu zdůrazňují potřebu zlepšit bezpečnostní opatření v rámci systému DSW, zejména pokud jde o správu hesel, procesy ověřování uživatelů a důsledné ověřování vstupů. K řešení těchto problémů práce poskytuje soubor cílených doporučení zaměřených na zlepšení bezpečnostního rámce systému DSW. Tyto návrhy mají nejen posílit obranu společnosti DSW, ale také nabídnout cenné poznatky pro širší oblast kybernetické bezpečnosti v rámci platforem pro správu dat. Tato práce tak slouží jako významný příspěvek k probíhajícímu úsilí o posílení bezpečnosti nástrojů pro správu dat, jako je DSW.

This thesis offers an in-depth security analysis of the Data Stewardship Wizard (DSW), an open-source tool designed for efficient data management planning. The main goal of this study was to pinpoint and assess potential security vulnerabilities within DSW, as well as to gauge the robustness of its current security protocols. Through a blend of manual examination, penetration testing, and vulnerability scanning techniques, a range of security issues were discovered. These include vulnerabilities related to weak credential policies, the system's vulnerability to brute-force attacks, and risks associated with server-side template injection. The research findings underscore the need for improved security measures within DSW, especially concerning password management, user authentication processes, and rigorous input validation. To address these issues, the thesis provides a set of targeted recommendations aimed at enhancing DSW's security framework. These suggestions are intended not only to fortify DSW's defences but also to offer valuable insights into the wider field of cybersecurity within data management platforms. This thesis thus serves as a significant contribution to the ongoing efforts to strengthen the security of data management tools like DSW.