Cílem diplomové práce je testování bezpečnosti webových aplikací. Hlavní částí práce je popis jednotlivých druhů testů. Dále práce obsahuje zásady pro tvorbu bezpečných aplikací, návrh optimální strategie pro testování a testování bezpečnosti serveru www.paymorrow.de.
Annotation in English
The main aim of this thesis is security testing of web applications. The principal part of this work is description of kinds of security tests. This work also contains policy for developing secured web applications, design strategy for testing and security test of web server www.paymorrow.de.
Keywords
bezpečnost, web, testování, hacking, paymorrow
Keywords in English
security, web, testing, hacking, paymorrow
Length of the covering note
69
Language
CZ
Annotation
Cílem diplomové práce je testování bezpečnosti webových aplikací. Hlavní částí práce je popis jednotlivých druhů testů. Dále práce obsahuje zásady pro tvorbu bezpečných aplikací, návrh optimální strategie pro testování a testování bezpečnosti serveru www.paymorrow.de.
Annotation in English
The main aim of this thesis is security testing of web applications. The principal part of this work is description of kinds of security tests. This work also contains policy for developing secured web applications, design strategy for testing and security test of web server www.paymorrow.de.
Keywords
bezpečnost, web, testování, hacking, paymorrow
Keywords in English
security, web, testing, hacking, paymorrow
Research Plan
Vypracujte literární rešerši na dané téma. Zaměřte se zejména na principy a metodiku u testování webových aplikací.
Vypracujte analýzu nejčastějších technik prolomení bezpečnosti softwarových produktů včetně principů hackingu a crackingu.
Vypracujte analýzu pokrytí technik prolomení bezpečnosti v návaznosti na používané principy a metodiku testování. Doplňte analýzou rizik včetně hodnocením závažnosti jednotlivých typů útoků (např. užitím metodiky FMEA).
Navrhněte optimální strategii a postup (tzv. testing skeleton) pro black-box testování bezpečnosti softwaru včetně návrhů užití automatických nástrojů, zohledněte analýzu rizik při definici prioritizace. Odhadněte náročnost každého kroku (např. v procentech celkového času), nejlépe ve formě srovnávací tabulky.
Navržený postup aplikujte na vybraný softwarový produkt a proveďte jeho testování z hlediska bezpečnosti. Vypracujte design testů a testovací závěrečnou zprávu.
Research Plan
Vypracujte literární rešerši na dané téma. Zaměřte se zejména na principy a metodiku u testování webových aplikací.
Vypracujte analýzu nejčastějších technik prolomení bezpečnosti softwarových produktů včetně principů hackingu a crackingu.
Vypracujte analýzu pokrytí technik prolomení bezpečnosti v návaznosti na používané principy a metodiku testování. Doplňte analýzou rizik včetně hodnocením závažnosti jednotlivých typů útoků (např. užitím metodiky FMEA).
Navrhněte optimální strategii a postup (tzv. testing skeleton) pro black-box testování bezpečnosti softwaru včetně návrhů užití automatických nástrojů, zohledněte analýzu rizik při definici prioritizace. Odhadněte náročnost každého kroku (např. v procentech celkového času), nejlépe ve formě srovnávací tabulky.
Navržený postup aplikujte na vybraný softwarový produkt a proveďte jeho testování z hlediska bezpečnosti. Vypracujte design testů a testovací závěrečnou zprávu.
Recommended resources
SCHULTY, Eugenea a kol. Hacking - detekce a prevence počítačového útoku. 1. vyd. Praha: Grada, 2007. 356 s. ISBN: 80-247-1035-8
BULÁNEK, V. Soudobé techniky testování bezpečnosti softwaru. Diplomová práce, Masarykova univerzita Fakulta informatiky. 2005
WHITTAKER, James. How to Break Software. AddisonWesley, 2003
SCAMBRAY, Joel; SHEMA, Mike. Hacking bez tajemství : webové aplikace. 2003. Brno : Computer Press, 2003. 328 s. ISBN 80-7226-769-8
MALÝ, J.; KACÁLEK, J. Zabezpečení webových aplikací. Access server [online]. 15.8.2007, č.1, [cit. 2011-02-02]. Dostupný z WWW: [http://access.feld.cvut.cz/view.php?cisloclanku=2007080003]
2009 Internet Crime Report. In Internet Crime Complaint Center : an FBI - NW3C Partnership [online]. [s.l.] : [s.n.], 12.3.2010 [cit. 2011-02-02]. Dostupné z WWW: [http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf]
Recommended resources
SCHULTY, Eugenea a kol. Hacking - detekce a prevence počítačového útoku. 1. vyd. Praha: Grada, 2007. 356 s. ISBN: 80-247-1035-8
BULÁNEK, V. Soudobé techniky testování bezpečnosti softwaru. Diplomová práce, Masarykova univerzita Fakulta informatiky. 2005
WHITTAKER, James. How to Break Software. AddisonWesley, 2003
SCAMBRAY, Joel; SHEMA, Mike. Hacking bez tajemství : webové aplikace. 2003. Brno : Computer Press, 2003. 328 s. ISBN 80-7226-769-8
MALÝ, J.; KACÁLEK, J. Zabezpečení webových aplikací. Access server [online]. 15.8.2007, č.1, [cit. 2011-02-02]. Dostupný z WWW: [http://access.feld.cvut.cz/view.php?cisloclanku=2007080003]
2009 Internet Crime Report. In Internet Crime Complaint Center : an FBI - NW3C Partnership [online]. [s.l.] : [s.n.], 12.3.2010 [cit. 2011-02-02]. Dostupné z WWW: [http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf]