You are currently viewing Testovanie zraniteľností aplikácií

Testovanie zraniteľností aplikácií

Práca

Autor: Bc. Lucia Kokuľová
Školiteľ: doc. RNDr. JUDr. Pavol Sokol, PhD.
Konzultant: MSc. Terézia Mézešová

Abstrakt

Práca sa zaoberá jednou z dôležitých tém informačnej bezpečnosti, testovaním zraniteľností aplikácií. Každoročne sa na internete objavuje čoraz viac nových aplikácií. Spolu s nimi sa objavujú útočníci hľadajúci ich slabé stránky, teda zraniteľnosti, ktoré by využili vo svoj prospech. Je preto nutné neustále odhaľovať a odstraňovať zraniteľnosti aplikácií, napríklad testovaním zraniteľností. To zahŕňa niekoľko rôznych metód, ktoré pokrývajú rôzne typy zraniteľností. Pri testovaní zraniteľností aplikácií je prvým dôležitým krokom, rozhodnúť sa akým spôsobom sa tieto zraniteľnosti budú testovať. V našej práci popisujeme tieto spôsoby a tiež rôzne metódy, ktoré sa v súčasnosti najčastejšie používajú pri statickej analýze kódu, ktorou sa zaoberáme. Hlavným cieľom praktickej časti našej práce je implementovať jednu z týchto metód a takto prispieť do tvorby open source projektu SonarQube. Pravidlá ktoré sme implementovali, boli vybrané tak, aby sa v nástroji SonarQube ich implementácia ešte nenachádzala. V tomto nástroji sme takisto otestovali dve z aplikácií, ktoré boli vytvorené na našej univerzite.

Ciele

  • Analyzovať možnosti testovania zraniteľností aplikácii
  • Porovnať aktuálne prístupy a implementácie testovania zraniteľnosti aplikácií
  • Navrhnúť a implementovať rozhranie pre vybrané metódy testovania zraniteľnosti aplikácii

Literatúra

  • MUELLER, John Paul. Security for Web Developers: Using JavaScript, HTML, and CSS. “ O’Reilly Media, Inc.“, 2015.
  • STUTTARD, Dafydd; PINTO, Marcus. The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws. John Wiley & Sons, 2011.
  • SHEMA, Mike. Hacking web apps: detecting and preventing web application security problems. Newnes, 2012.
  • MEUCCI, Matteo; MULLER, Andrew. The OWASP Testing Guide 4.0. Open Web Application Security Project, 2014, 30.

Priebeh práce

Zatiaľ nezverejnené