Tato diplomová práce se zabývá projektem OWASP Juice Shop a jeho využitím při praktické výuce bezpečnosti webových aplikací. V OWASP Juice Shopu jsou aplikovány různorodé zranitelnosti, které se mohou vyskytovat v běžných webových aplikacích. Je zde vytvořen návod pro instalaci a zprovoznění testovací aplikace. Následně je vybráno několik typů zranitelností, které jsou v aplikaci nalezeny a poté opraveny. Celý postup nalezení bezpečnostních chyb a následné opravy je detailně popsán v návodech, včetně snímků z jednotlivých kroků, které mohou být využity pro lepší pochopení zranitelností. Práce dále obsahuje detailní popis vybraných zranitelností a popis použitých technologií a aplikací, které byly využity při analýze a pro nalezení daných zranitelností.
Anotace v angličtině
This master's thesis deals with OWASP Juice Shop project and its usability for practical training of web applications security. OWASP Juice Shop has various vulnerabilities in itself, which can occur in common web applications. This thesis contains tutorial for web application setup. Subsequently, several types of vulnerabilities are selected, which are found in the application and then fixed. Whole process of security vulnerabilities discovery and correction is described in detail in the tutorials, including screenshots from individual steps, which can be used for better understanding of vulnerabilities. The thesis then contains detailed description of selected vulnerabilities and description of used technologies and applications, which were used during the analysis and for finding mentioned vulnerabilities.
Klíčová slova
OWASP, Juice Shop, webová aplikace, zranitelnost
Klíčová slova v angličtině
OWASP, Juice Shop, web application, vulnerability
Rozsah průvodní práce
89 s. (125 794 znaků)
Jazyk
CZ
Anotace
Tato diplomová práce se zabývá projektem OWASP Juice Shop a jeho využitím při praktické výuce bezpečnosti webových aplikací. V OWASP Juice Shopu jsou aplikovány různorodé zranitelnosti, které se mohou vyskytovat v běžných webových aplikacích. Je zde vytvořen návod pro instalaci a zprovoznění testovací aplikace. Následně je vybráno několik typů zranitelností, které jsou v aplikaci nalezeny a poté opraveny. Celý postup nalezení bezpečnostních chyb a následné opravy je detailně popsán v návodech, včetně snímků z jednotlivých kroků, které mohou být využity pro lepší pochopení zranitelností. Práce dále obsahuje detailní popis vybraných zranitelností a popis použitých technologií a aplikací, které byly využity při analýze a pro nalezení daných zranitelností.
Anotace v angličtině
This master's thesis deals with OWASP Juice Shop project and its usability for practical training of web applications security. OWASP Juice Shop has various vulnerabilities in itself, which can occur in common web applications. This thesis contains tutorial for web application setup. Subsequently, several types of vulnerabilities are selected, which are found in the application and then fixed. Whole process of security vulnerabilities discovery and correction is described in detail in the tutorials, including screenshots from individual steps, which can be used for better understanding of vulnerabilities. The thesis then contains detailed description of selected vulnerabilities and description of used technologies and applications, which were used during the analysis and for finding mentioned vulnerabilities.
Klíčová slova
OWASP, Juice Shop, webová aplikace, zranitelnost
Klíčová slova v angličtině
OWASP, Juice Shop, web application, vulnerability
Zásady pro vypracování
Vypracujte literární rešerši na dané téma.
Vytvořte návod pro instalaci OWASP Juice Shop.
Zpracujte možnosti testování vybraných zranitelností.
Zpracujte řešení vybraných zranitelností.
Vytvořte soubor řešených úloh pro potřeby výuky této problematiky.
Zásady pro vypracování
Vypracujte literární rešerši na dané téma.
Vytvořte návod pro instalaci OWASP Juice Shop.
Zpracujte možnosti testování vybraných zranitelností.
Zpracujte řešení vybraných zranitelností.
Vytvořte soubor řešených úloh pro potřeby výuky této problematiky.
Seznam doporučené literatury
SHEMA, Mike. Seven deadliest web application attacks. Amsterdam: Elsevier/Syngress, c2010, xvi, 146 s. Syngress seven deadliest attacks series. ISBN 9781597495431.
SCAMBRAY, Joel a Mike SHEMA. Hacking bez tajemství: webové aplikace. Brno: Computer Press, 2003, 328 s. ISBN 8072267698.
BORSO, Serge. The Penetration Tester's Guide to Web Applications. London: Artech House, 2019. ISBN 978-1-63081-622-3.
STUTTARD, Dafydd a Marcus PINTO. The Web Application Hacker’s Handbook. 2nd ed. Indianapolis: Wiley, 2011. ISBN 978-1-118-02647-2.
HOWARD, Michael a David LEBLANC. Bezpečný kód: [techniky a strategie tvorby bezpečných webových aplikací]. Brno: Computer Press, 2008, 895 s. ISBN 9788025120507.
Seznam doporučené literatury
SHEMA, Mike. Seven deadliest web application attacks. Amsterdam: Elsevier/Syngress, c2010, xvi, 146 s. Syngress seven deadliest attacks series. ISBN 9781597495431.
SCAMBRAY, Joel a Mike SHEMA. Hacking bez tajemství: webové aplikace. Brno: Computer Press, 2003, 328 s. ISBN 8072267698.
BORSO, Serge. The Penetration Tester's Guide to Web Applications. London: Artech House, 2019. ISBN 978-1-63081-622-3.
STUTTARD, Dafydd a Marcus PINTO. The Web Application Hacker’s Handbook. 2nd ed. Indianapolis: Wiley, 2011. ISBN 978-1-118-02647-2.
HOWARD, Michael a David LEBLANC. Bezpečný kód: [techniky a strategie tvorby bezpečných webových aplikací]. Brno: Computer Press, 2008, 895 s. ISBN 9788025120507.
Přílohy volně vložené
1 CD
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Studentka představil komisi výsledky své diplomové práce. Součástí prezentace nebyla praktická ukázka. Poté byla komise seznámena s posudky a hodnocením vedoucího (A) a oponenta (A). V rámci posudků zazněly tyto otázky: Existují nějaké další zranitelnosti, které jste nezahrnula do výukových materiálů? Členové komise ocenili vytvořené materiály v rámci diplomové práce.