Darbo aktualumas. Interneto svetainės tapo neatsiejama kiekvienos organizacijos veiklos dalimi. Jose laikoma jautri informacija apie vartotojus, klientus, darbuotojus, o pažeidžiamumai jose gali turėti didelių pasekmių organizacijai. Nors egzistuoja tokie svetainių pažeidžiamumų įrankiai kaip „Burp Suite“ ir „OWASP ZAP“, jų naudojimas reikalauja specifinių žinių, konfigūracijos ir daug rankinio darbo. Todėl saugumo specialistai ir net techninių žinių neturintys naudotojai ieško paprastesnių ir intuityvesnių sprendimų, kurie padėtų efektyviai ir greitai nustatyti svetainės saugumo trūkumus.
Darbo problema. Esami įrankiai kaip „Burp Suite“ ar „OWASP ZAP“ turi plačias funkcijas, tačiau jų valdymas dažnai yra sudėtingas, reikalaujantis daug rankinio įsikyšimo nustant testų specifikas, o kai kurie testai yra sunkiai automatizuojami (pvz., autentikacijos testavimas ar logikos pažeidimai). Taip pat dažnai reikia papildomų konfigūracijų, o naudotojo panelė nėra pritaikytą paprastam vartotojui. Dėl to atliekant testus rankiniu būdu padidėja klaidų rizika, užtrunka daugiau laiko. Be to, šie įrankiai dažniausiai apsiriboja pažeidžiamumo identifikavimu, tačiau nesuteikia galimybės automatiškai ir saugiai išbandyti, ar konkretus pažeidžiamumas gali būti realiai išnaudotas („exploit“). Tokia funkcija yra svarbi vertinant rizikos lygį, tačiau ją atlikti su esamais sprendimais dažnai sudėtinga. Trūksta įrankio, kuris leistų intuityviai, automatizuotai ir nekenksmingai įsitikinti rasto pažeidžiamumo išnaudojimo galimybe.
Darbo objektas. Sukurtas įrankis galės automatizuoti testus, kurie yra dažniausiai pamirštami, bet svarbūs. Testų leidimas bus supaprastintas (pvz., autentikacijos, verslo logikos tikrinimas), jis turės patogią grafinę sąsają „vieno mygtuko paspaudimo“ principu ir galės generuoti išsamias PDF ataskaitas. Įrankis skirtas tiek saugumo specialistams, tiek kūrėjams ar mažoms įmonėms, neturinčioms kibernetinio saugumo žinių.
Darbo tikslas. Sukurti automatizuotą ir vartotojui draugišką svetainių pažeidžiamumų tikrinimo įrankį, kuris papildytų esamus sprendimus bei išspręstų jų trūkumus.
Darbo uždaviniai: • Išanalizuoti esamus svetainių pažeidžiamumo tikrinimo įrankius ir jų trūkumus • Apibrėžti, kokius sunkiai automatizuojamus testus galima įtraukti į įrankį • Suprojektuoti vartotojui patogią grafinę panelę • Implementuoti testus vieno migtuko paspaudimo logika su papildomais parametrais (pvz., login bruteforce, sesijų analizė, slapukų konfigūracija) • Sukurti automatizuotą PDF ataskaitų generavimo sistemą • Įdiegti galimybę pasirinkti rastą pažeidžiamumą ir saugiai atlikti jo išnaudojimo („exploit“) bandymą, taikant riboto poveikio PoC metodus. • Atlikti įrankio testavimą su realiomis svetainėmis • Dokumentuoti įrankio veikimą ir naudotojo instrukcijas • Pasiūlyti ateities funkcionalumo plėtrą (pvz., AI pagalba analizėje)
Relevance of the work. Websites have become an integral part of every organization’s activities. They store sensitive information about users, customers, and employees, and vulnerabilities in them can have significant consequences for the organization. Although there are such website vulnerability tools as Burp Suite and OWASP ZAP, their use requires specific knowledge, configuration, and a lot of manual work. Therefore, security specialists and even users without technical knowledge are looking for simpler and more intuitive solutions that would help effectively and quickly identify website security weaknesses.
Work problem. Existing tools such as Burp Suite or OWASP ZAP have extensive functions, but their management is often complicated, requiring a lot of manual intervention when determining the specifics of the tests, and some tests are difficult to automate (e.g., authentication testing or logic violations). Additional configurations are also often required, and the user panel is not adapted to the average user. As a result, the risk of errors increases when performing tests manually and takes more time. In addition, these tools are usually limited to vulnerability identification, but do not provide the ability to automatically and safely test whether a specific vulnerability can actually be exploited (“exploited”). Such a function is important when assessing the level of risk, but it is often difficult to perform with existing solutions. There is a lack of a tool that would allow intuitive, automated and harmless verification of the possibility of exploiting a found vulnerability.
Object of work. The created tool will be able to automate tests that are often forgotten, but important. Test execution will be simplified (e.g., authentication, business logic testing), it will have a convenient graphical interface with the “one-click” principle and will be able to generate detailed PDF reports. The tool is intended for both security specialists and developers or small businesses that do not have cybersecurity knowledge.
Purpose of the work. To create an automated and user-friendly website vulnerability testing tool that would complement existing solutions and address their shortcomings.
Tasks: • Analyze existing website vulnerability testing tools and their shortcomings • Define which difficult-to-automate tests can be included in the tool • Design a user-friendly graphical panel • Implement one-click logic for tests with additional parameters (e.g., login bruteforce, session analysis, cookie configuration) • Create an automated PDF report generation system • Implement the ability to select a found vulnerability and safely perform its exploit test using limited-impact PoC methods. • Perform tool testing with real websites • Document the tool’s operation and user instructions • Suggest future functionality development (e.g., AI assistance in analysis)
| Bakalauro kursinio darbo | | Bakalauro baigiamojo darbo |
| Kibernetinis saugumas (saugumo technologijų ir metodų taikymai tinkluose ir programų sistemose, saugumo ir rizikos vertinimo tyrimai) |
| Paslaugų integracija (moderniųjų informacinių sistemų, paslaugų ar kitų išorinių komponentų integracija pagal taikymo sritį, architektūrinių sprendinių kūrimas bei tyrimai, įskaitant įvairių taikomųjų sričių signalų apdorojimo uždavinius) |
| Moderniosios interneto paslaugos (moderniųjų interneto paslaugų kūrimas ir jų tyrimai kontekstualizuotose aplinkose, pavyzdžiui, mobiliose, mikro servisuose) |