Sigurnost web-aplikacija
Sažetak na hrvatskom: Definiranje sigurnosti web aplikacija zasniva se na problemu da je nemoguće kontrolirati ponašanje klijentskog dijela arhitekture što omogućava slanje arbitrarnih zahtjeva poslužiteljskoj strani aplikacije. Kao posljedica tog problema postoje stotine kategoriziranih i sistemati...
| Permalink: | http://skupni.nsk.hr/Record/fer.KOHA-OAI-FER:49727/Details |
|---|---|
| Glavni autor: | Perušić, Andrija (-) |
| Ostali autori: | Mekterović, Igor (Thesis advisor) |
| Vrsta građe: | Drugo |
| Impresum: |
Zagreb,
A. Perušić,
2017.
|
| Predmet: |
Sigurnost
> web aplikacija
> arbitrarni zahtjev
> vektori napada
> OWASP
> TOP 10
> penetracijski testovi
> Django
> Bootstrap
> MySQL
> Trampolin
> prototip
> injekcija
> cross-site skripte
> kontorola pristupa
> upravljanje sesijom
> autentifikacija
> validacija podataka
> automatizirano testiranje
> HTTP
Security
> web application
> arbitrary request
> attack vectors
> OWASP
> TOP 10
> pen-test
> Django
> Bootstrap
> MySQL
> Trampolin
> prototype
> injection
> cross-site scripting
> access control
> session menagement
> autentification
> data validation
> automatized testing
> HTTP
|
| LEADER | 03990na a2200217 4500 | ||
|---|---|---|---|
| 003 | HR-ZaFER | ||
| 008 | 160221s2017 ci ||||| m||| 00| 0 hr d | ||
| 035 | |a (HR-ZaFER)ferid4816 | ||
| 040 | |a HR-ZaFER |b hrv |c HR-ZaFER |e ppiak | ||
| 100 | 1 | |a Perušić, Andrija | |
| 245 | 1 | 0 | |a Sigurnost web-aplikacija : |b završni rad / |c Andrija Perušić ; [mentor Igor Mekterović]. |
| 246 | 1 | |a Web applications security |i Naslov na engleskom: | |
| 260 | |a Zagreb, |b A. Perušić, |c 2017. | ||
| 502 | |b preddiplomski studij |c Fakultet elektrotehnike i računarstva u Zagrebu |g smjer: Programsko inženjerstvo i informacijski sustavi, šifra smjera: 39, datum predaje: 2017-06-09, datum završetka: 2017-07-10 | ||
| 520 | 3 | |a Sažetak na hrvatskom: Definiranje sigurnosti web aplikacija zasniva se na problemu da je nemoguće kontrolirati ponašanje klijentskog dijela arhitekture što omogućava slanje arbitrarnih zahtjeva poslužiteljskoj strani aplikacije. Kao posljedica tog problema postoje stotine kategoriziranih i sistematiziranih vrsta napada. Da bi minimizirale prostor za napade aplikacije moraju na ispravan način implementirati mehanizme autentifikacije, upravljanja sesijama, kontrole pristupa i validacije podataka. U radu je obrađeno i objašnjeno deset najrasprostranjenijih ranjivosti web aplikacija prema objavljenim rezultatima zadnje iteracije projekta TOP 10 volonterske organizacije OWASP (The Open Web Application Security Project). Istih TOP 10 ranjivosti praktično je implementirano unutar prototipa ranjive web aplikacije Trampolin. Za razvoj aplikacije korišten je radni okvir Django, Bootstrap te MySQL server baze podataka. Aplikacija je dizajnirana kao platforma za praktičnu vježbu penetriranja aplikacije za studente FER-a. U zadnjem dijelu rada napravljen je pregled dostupnih alata otvorenog koda za automatizirano testiranje web aplikacija. Pomoću alata OWASP ZAP i Vega izvršeni i analizirani su automatizirani testovi na sustavu Edgar, sustavu za pisanje kratkih provjera znanja. | |
| 520 | 3 | |a Sažetak na engleskom: Web application security definition is based on a problem that it is impossible to control the actions of client side application arhitecture which enables submission of arbitrary data to server side of the application. As a result of this problem there ar hundreds of categorized and systemized types of attacks. To minimize possible attack vectors applications need to have approprietly implemented mechanisms for autentification, session menagement, access control and data validation. The most pervalent web application security vulnerabilites are presented and explained in this thesis. Most pervalent vulnerabilities are defined in the results of the last iteration of TOP 10 project of the NGO organization OWASP (The Open Web Application Security Project). The same vulnerabilities are implemented in the vulnerable web application prototype Trampolin. Techonogies used for prototype development are Django framework, Bootstrap and MySQL database server. Prototype application is designed as a platform for training penetration testing skills for FER students. Last chapter of thesis is an overview of avaliable open source tools for automatized penetration testing. With the use of OWASP ZAP and Vega tools, automatized tests where executed and analized on the Edgar, On-Line Exam Web Application. | |
| 653 | 1 | |a Sigurnost |a web aplikacija |a arbitrarni zahtjev |a vektori napada |a OWASP |a TOP 10 |a penetracijski testovi |a Django |a Bootstrap |a MySQL |a Trampolin |a prototip |a injekcija |a cross-site skripte |a kontorola pristupa |a upravljanje sesijom |a autentifikacija |a validacija podataka |a automatizirano testiranje |a HTTP | |
| 653 | 1 | |a Security |a web application |a arbitrary request |a attack vectors |a OWASP |a TOP 10 |a pen-test |a Django |a Bootstrap |a MySQL |a Trampolin |a prototype |a injection |a cross-site scripting |a access control |a session menagement |a autentification |a data validation |a automatized testing |a HTTP | |
| 700 | 1 | |a Mekterović, Igor |4 ths | |
| 942 | |c Z | ||
| 999 | |c 49727 |d 49727 | ||