Evaluarea și mitigarea vulnerabilităților aplicațiilor web prin teste de penetrare

Abstract

În prezent, aplicațiile web sunt o componentă de bază în o mulțime de instituții și domenii, de la servicii financiare și comerț electronic la educație și managementul datelor personale. Cu creșterea utilizării și a complexității acestor aplicații, vulnerabilitățile de securitate au devenit tot mai frecvente, sofisticate și complexe, ce pune în pericol confidențialitatea, integritatea și disponibilitatea informațiilor. Teza ține să abordeze în detaliu problemele securității aplicațiilor web, concentrându-se pe evaluarea și mitigarea vulnerabilităților prin teste de penetrare. Studiul analizează vulnerabilitățile comune, cum ar fi Cross-Site Scripting (XSS), SQL Injection, Broken Access Control și Server-Side Request Forgery (SSRF), analizând cum acestea se propagă și soluțiile de remediere. Totodată, lucrarea subliniază importanța testelor de penetrare, atât manuale, cât și automatizate, pentru detectarea vulnerabilităților și prevenirea atacurilor aplicațiilor web. De asemenea, oferă o metodologie pentru evaluarea riscurilor și implementarea măsurilor de protecție. Pentru a atinge acest scop, cercetarea abordează următoarele aspecte, ca investigarea celor mai frecvente vulnerabilități din aplicațiile web menționate anterior. Propunerea de soluții de mitigare și bune practici, în conformitate cu reglementările și standardele existente, pentru reducerea riscurilor și îmbunătățirea securității. Cercetarea implică utilizarea unor instrumente asociate testării de penetrare, cum ar fi Burp Suite, OWASP ZAP și Nessus, pentru identificarea vulnerabilităților și evaluarea eficienței măsurilor de securitate aprobate.

Nowadays, web applications are a core component in a wide range of institutions and domains, from financial services and e-commerce to education and personal data management. With the increasing use and complexity of these applications, security vulnerabilities have become more frequent, sophisticated and complex, which endangers the confidentiality, integrity and availability of information. The thesis aims to address in detail the security issues of web applications, focusing on the assessment and mitigation of vulnerabilities through penetration testing. The study analyzes common vulnerabilities, such as Cross-Site Scripting (XSS), SQL Injection, Broken Access Control and Server-Side Request Forgery (SSRF), analyzing how they propagate and remediation solutions. At the same time, the paper emphasizes the importance of penetration testing, both manual and automated, for detecting vulnerabilities and preventing web application attacks. It also provides a methodology for assessing risks and implementing protective measures. To achieve this goal, the research addresses the following aspects, such as investigating the most common vulnerabilities in the aforementioned web applications. Proposing mitigation solutions and best practices, in accordance with regulations and standards, to reduce risks and ensure security. The research involves the use of penetration testing tools, such as Burp Suite, OWASP ZAP and Nessus, to identify vulnerabilities in the measures and evaluate the effectiveness of the approved security.