Bezpečnostní auditor WWW stránek

Abstract

Tato práce řeší problématik bezpečnosti webových stránek primárně ze strany programátorů dynamických webových aplikací. Popisuje jednotlivé chyby, kterých se programátoři dopouštějí a vysvětluje, jak lze takovým chybám předejít a jaké nepříjemné možnosti zneužívání tyto chyby skýtají pro případné účotčníky. Hlavní částí práce je samotný program, který většinu takto popsaných chyb strojově vyhledává. Pracuje v dcou fázích - v první fáze prohledá doménu či jinak specivikovanou množinu stránek a detekuje potenciálně zranitelná místa a ve druhé fázi posílá do těchto míst útočné požadavky a analýzou odpovědí indikuje bezpečnostní chyby.

This work solves the problematics of web pages security primarily from the side of dynamic web application programmers. It describes single mistakes, that programmers perpetrate and declares, how is possible prevent these mistakes and what unpleasant possibilities of abuse these mistakes offer to potential attackers. The main part of the work is the program, which machinely searches majority of those errors. It functions in two phases - in the rst phase it explores a domain or alternatively de ned set of pages and detects potentially vulnerable locations and in the second phase it sends attack queries to these locations and by analysis of its replies detects security vulnerabilities.