Práce se zabývá problematikou analýzy bezpečnosti webových standardů technologie HTML5, jejímž hlavním cílem je ukázat bezpečnostní úskalí vývoje webových aplikací pomocí standardů využívajících specifikací rozhraní technologie HTML5. Práce je rozdělena na teoretickou a praktickou část. Teoretická část se v první kapitole zabývá všeobecnými bezpečnostními principy vývoje webových aplikací. Druhá kapitola se zabývá bezpečnostními hrozbami a riziky jednotlivých specifikací technologie HTML5. V praktické části se třetí kapitola zabývá návrhem webových stránek se zranitelnostmi specifikací technologie HTML5 s použitím nejznámějších typů útoků a implementací webové aplikace demonstrující takové vybrané útoky a zranitelnosti. Čtvrtá a zároveň poslední kapitola se zabývá metodami testování, návrhem aplikace pro testování bezpečnosti webových aplikací a samotnou demonstrací implementovaných útoků ve webové aplikaci společně s provedením testů navrženou aplikací.
Anotace v angličtině
This work deals with questions of analysis safety web standards of technology HTML5, the target of this work is demonstration of safety difficulties in development web applicaton by standards using specification of technological interface HTML5. Work is divided into teoretical and practical part. The teoretical part, especially the first chapter, deals with universal safety principals of development web. The second chapter deals with security threats and risks particular specifications technology HTML5. In the practical part, the third chapter is about web pages, for example about the proposals and vulnerability of specifications technology HTML5. There are mentioned the well known types of attacks and implementation of web application presenting these chosen attacks. The fourth and the last chapter deals with metods of testing, applications for testing security web applications and with demonstration of implemented attacks in the web application. In the same time is given test by this application.
Klíčová slova
HTML5, web standard, analýza bezpečnosti, zranitelnost, testování bezpečnosti
Klíčová slova v angličtině
HTML5, web standard, security analysis, vulnerability, security tests
Rozsah průvodní práce
125 s.
Jazyk
CZ
Anotace
Práce se zabývá problematikou analýzy bezpečnosti webových standardů technologie HTML5, jejímž hlavním cílem je ukázat bezpečnostní úskalí vývoje webových aplikací pomocí standardů využívajících specifikací rozhraní technologie HTML5. Práce je rozdělena na teoretickou a praktickou část. Teoretická část se v první kapitole zabývá všeobecnými bezpečnostními principy vývoje webových aplikací. Druhá kapitola se zabývá bezpečnostními hrozbami a riziky jednotlivých specifikací technologie HTML5. V praktické části se třetí kapitola zabývá návrhem webových stránek se zranitelnostmi specifikací technologie HTML5 s použitím nejznámějších typů útoků a implementací webové aplikace demonstrující takové vybrané útoky a zranitelnosti. Čtvrtá a zároveň poslední kapitola se zabývá metodami testování, návrhem aplikace pro testování bezpečnosti webových aplikací a samotnou demonstrací implementovaných útoků ve webové aplikaci společně s provedením testů navrženou aplikací.
Anotace v angličtině
This work deals with questions of analysis safety web standards of technology HTML5, the target of this work is demonstration of safety difficulties in development web applicaton by standards using specification of technological interface HTML5. Work is divided into teoretical and practical part. The teoretical part, especially the first chapter, deals with universal safety principals of development web. The second chapter deals with security threats and risks particular specifications technology HTML5. In the practical part, the third chapter is about web pages, for example about the proposals and vulnerability of specifications technology HTML5. There are mentioned the well known types of attacks and implementation of web application presenting these chosen attacks. The fourth and the last chapter deals with metods of testing, applications for testing security web applications and with demonstration of implemented attacks in the web application. In the same time is given test by this application.
Klíčová slova
HTML5, web standard, analýza bezpečnosti, zranitelnost, testování bezpečnosti
Klíčová slova v angličtině
HTML5, web standard, security analysis, vulnerability, security tests
Zásady pro vypracování
Popište základní principy bezpečnosti webových aplikací.
Vypracujte analýzu pokrytí technik pro nejznámější typy útoků souvisejících s technologií HTML5.
Připravte postupy detekce zranitelností.
Popište možnosti zneužití bezpečnostních slabin.
Připravte metodiku doporučení, jak lze tyto slabiny ošetřit.
Navrhněte aplikaci pro testování bezpečnosti webových aplikací včetně detekce zranitelností.
Vytvořte webovou stránku pomocí technologie HTML5 obsahující vybrané zranitelnosti a proveďte test navrženou aplikací pro testování bezpečnosti s vyhodnocením.
Zásady pro vypracování
Popište základní principy bezpečnosti webových aplikací.
Vypracujte analýzu pokrytí technik pro nejznámější typy útoků souvisejících s technologií HTML5.
Připravte postupy detekce zranitelností.
Popište možnosti zneužití bezpečnostních slabin.
Připravte metodiku doporučení, jak lze tyto slabiny ošetřit.
Navrhněte aplikaci pro testování bezpečnosti webových aplikací včetně detekce zranitelností.
Vytvořte webovou stránku pomocí technologie HTML5 obsahující vybrané zranitelnosti a proveďte test navrženou aplikací pro testování bezpečnosti s vyhodnocením.
Seznam doporučené literatury
W3C. HTML5, A vocabulary and associated APIs for HTML and XHTML, W3C Candidate Recommendation 17 December 2012. [online]. Dostupné z: http://www.w3.org/TR/html5/.
ERICKSON, Jon. Hacking umění exploitace. Vyd. 1. Brno: Zoner Press, 2005, 263 s. ISBN 80-868-1521-8.
KÜMMEL, Roman. XSS: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. Zlín: Tigris, 2011, 330 s. ISBN 978-80-86062-34-1.
CRAVENS, Jesse a Jeff BURTOFT. Html5 Hacks. O'reilly, 2012, 500 s. ISBN 978-144-9334-994.
HEIDERICH, Mario. HTML5 Security Cheatsheet. [online]. Dostupné z: http://html5sec.org/.
DE RYCK, P., L. DESMET, P. PHILIPPAERTS a F. PIESSENS. A Security Analysis of Next Generation Web Standards, ENISA, 31. July 2011. Dostupné z: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/web-security/a-security-analysis-of-next-generation-web-standards/at_download/fullReport.
SHAH, Shreeraj. HTML5 Top 10 Threats: Stealth Attacks and Silent Exploits, BlackHat EU 2012. [online]. Dostupné z: https://www.blackhat.com/html/bh-eu-12/bh-eu-12-archives.htmlshah.
Seznam doporučené literatury
W3C. HTML5, A vocabulary and associated APIs for HTML and XHTML, W3C Candidate Recommendation 17 December 2012. [online]. Dostupné z: http://www.w3.org/TR/html5/.
ERICKSON, Jon. Hacking umění exploitace. Vyd. 1. Brno: Zoner Press, 2005, 263 s. ISBN 80-868-1521-8.
KÜMMEL, Roman. XSS: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. Zlín: Tigris, 2011, 330 s. ISBN 978-80-86062-34-1.
CRAVENS, Jesse a Jeff BURTOFT. Html5 Hacks. O'reilly, 2012, 500 s. ISBN 978-144-9334-994.
HEIDERICH, Mario. HTML5 Security Cheatsheet. [online]. Dostupné z: http://html5sec.org/.
DE RYCK, P., L. DESMET, P. PHILIPPAERTS a F. PIESSENS. A Security Analysis of Next Generation Web Standards, ENISA, 31. July 2011. Dostupné z: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/web-security/a-security-analysis-of-next-generation-web-standards/at_download/fullReport.
SHAH, Shreeraj. HTML5 Top 10 Threats: Stealth Attacks and Silent Exploits, BlackHat EU 2012. [online]. Dostupné z: https://www.blackhat.com/html/bh-eu-12/bh-eu-12-archives.htmlshah.
Přílohy volně vložené
CD ROM
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Student seznámil komisi s obsahem a výsledky své diplomové práce v krátké prezentaci. Po přečtení posudků vedoucího a oponenta práce následovala diskuze, ve které byly položeny následující dotazy:
dr. Malaník: Pracuje se na odstranění některých nedostatků?
Student na položené dotazy odpověděl. Následovalo zkoušení ze tří předmětů.