1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Please use this identifier to cite or link to this item: http://elartu.tntu.edu.ua/handle/lib/48289
Title: Інструменти автоматизованого тестування на проникнення та їх ефективність
Other Titles: Automated penetration testing tools and their effectiveness
Authors: Слупський, Богдан Васильович
Slupskyi, Bohdan
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Слупський Б.В. Автоматизовані інструменти тестування на проникнення та їх ефективність: робота на здобуття кваліфікаційного ступеня магістра: спец. 125 - Кібербезпека та захист інформації / наук. кер. Р. О. Козак. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 67 с.
Issue Date: 1-Jan-2025
Date of entry: 9-Mar-2025
Publisher: ТНТУ
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Козак, Руслан Орестович
Kozak, Ruslan
Committee members: Марценко, Сергій Володимирович
Martsenko, Sergiy
Keywords: automated penetration testing
vulnerability scanners
Owasp Juice Shop
Acunetix
Burp Suite
Nessus
Owasp Zap
Abstract: У роботі досліджено ефективність автоматизованих інструментів тестування на проникнення, таких як OWASP ZAP, Acunetix, Burp Suite та Nessus, у контексті безпеки веб-додатків. Тестування проводилося у середовищі OWASP Juice Shop, розгорнутому на віртуальній машині Kali Linux. Послідовний підхід до сканування забезпечив точність результатів та унеможливив перенавантаження середовища. Результати показали, що Acunetix є найбільш продуктивним інструментом для автоматизованого тестування, тоді як OWASP ZAP — найкращий вибір для малих організацій завдяки його безкоштовності. Burp Suite виявився ефективним у ручному аналізі вразливостей, а Nessus доцільно використовувати для перевірки мережевої інфраструктури. Рекомендації щодо вибору інструментів залежать від потреб та ресурсів організації: OWASP ZAP оптимальний для базового аналізу, Acunetix — для глибокого тестування, Burp Suite — для ручного пошуку вразливостей, а Nessus — для мережевих перевірок. Такий підхід сприяє комплексному підвищенню рівня кібербезпеки. This study explores the effectiveness of automated penetration testing tools, including OWASP ZAP, Acunetix, Burp Suite, and Nessus, in the context of web application security. Testing was conducted in the OWASP Juice Shop environment deployed on a Kali Linux virtual machine. A sequential scanning approach ensured result accuracy and prevented environment overload. The results showed that Acunetix is the most productive tool for automated testing, while OWASP ZAP is the best choice for small organizations due to its free availability. Burp Suite proved effective for manual vulnerability analysis, and Nessus is more suitable for network infrastructure assessments. Recommendations for tool selection depend on organizational needs and resources: OWASP ZAP is optimal for basic analysis, Acunetix for in-depth testing, Burp Suite for manual vulnerability exploration, and Nessus for network audits. This approach enables a comprehensive enhancement of cybersecurity levels.
Description: Інструменти автоматизованого тестування на проникнення та їх ефективність // ОР «Магістр» // Слупський Богдан Васильович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2024 // С. 67, рис. – 9, табл. – 10, кресл. – 15, додат. – 1.
Content: ВСТУП 8 РОЗДІЛ 1 ТЕОРЕТИЧНІ ОСНОВИ АВТОМАТИЗОВАНОГО ТЕСТУВАННЯ НА ПРОНИКНЕННЯ 10 1.1. Поняття та сутність тестування на проникнення 10 1.2. Класифікація методів тестування на проникнення та їх застосування 12 1.3. Автоматизація процесу тестування: переваги, обмеження та тенденції розвитку 15 1.4. Огляд поширених інструментів автоматизованого тестування на проникнення 18 РОЗДІЛ 2 АНАЛІЗ ТА ПОРІВНЯННЯ АВТОМАТИЗОВАНИХ ІНСТРУМЕНТІВ ТЕСТУВАННЯ 22 2.1. Критерії вибору інструментів для автоматизованого тестування 22 2.2. Аналіз функціональних можливостей та архітектури інструментів 24 2.3. Порівняльний аналіз точності та повноти виявлення вразливостей 27 2.4. Переваги та недоліки автоматизованих інструментів у практичному застосуванні 30 РОЗДІЛ 3 ПРАКТИЧНЕ ВПРОВАДЖЕННЯ ТА ОЦІНКА ЕФЕКТИВНОСТІ АВТОМАТИЗОВАНИХ ІНСТРУМЕНТІВ 34 3.1. Вибір цільового середовища та підготовка до тестування 34 3.2. Запуск автоматизованих сканерів на обраних цілях та збір результатів 38 3.3. Аналіз точності, корисності та практичної цінності виявлених вразливостей 48 3.4. Формування рекомендацій для підвищення безпеки та оптимізації вибору інструментів 50 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 55 4.1 Охорона праці 55 4.2 Фактори ризику та можливі порушення здоров’я користувачів комп’ютерної мережі 57 ВИСНОВКИ 61 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ 63 Додаток А Публікація 65
URI: http://elartu.tntu.edu.ua/handle/lib/48289
Copyright owner: © Слупський Богдан Васильович, 2024
References (Ukraine): 1. NIST. (n.d.). Technical Guide to Information Security Testing and Assessment (SP 800-115). Retrieved from https://csrc.nist.gov/pubs/sp/800/115/final
2. OWASP. (n.d.). Web Security Testing Guide. Retrieved from https://owasp.org/www-project-web-security-testing-guide/
3. ASMED. (n.d.). Black-Box, Grey-Box, White-Box Testing. Retrieved from https://asmed.com/black-box-grey-box-white-box-testing/
4. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
5. HackYourMom. (n.d.). Сканери для пошуку вразливостей у веб-серверах. Retrieved from https://hackyourmom.com/pryvatnist/skanery-dlya-poshuku-vrazlyvostej-u-veb-serverah/
6. Lypa, B., Horyn, I., Zagorodna, N., Tymoshchuk, D., Lechachenko T., (2024). Comparison of feature extraction tools for network traffic data. CEUR Workshop Proceedings, 3896, pp. 1-11.
7. Tenable. (n.d.). Nessus. Retrieved from https://www.tenable.com/products/nessus
8. Yesin, V., Karpinski, M., Yesina, M., Vilihura, V., Kozak, R., & Shevchuk, R. (2023). Technique for Searching Data in a Cryptographically Protected SQL Database. Applied Sciences, 13(20), 11525.
9. PortSwigger. (n.d.). Burp Suite Professional. Retrieved from https://portswigger.net/burp
10. Skorenkyy, Y., Zolotyy, R., Fedak, S., Kramar, O., & Kozak, R. (2023, June). Digital Twin Implementation in Transition of Smart Manufacturing to Industry 5.0 Practices. In CITI (pp. 12-23).
11. OWASP. (n.d.). OWASP Benchmark. Retrieved from https://owasp.org/www-project-benchmark/
12. Ревнюк, О. А., Загородна, Н. В., Козак, Р. О., Карпінський, М. П., & Флуд, Л. О. (2024). The improvement of web-application SDL process to prevent Insecure Design vulnerabilities. Прикладні аспекти інформаційних технологій, 7(2), 162-174.
13. Rafed. (n.d.). Vulnerable Applications for Practicing Pentesting. Retrieved from https://rafed.github.io/devra/posts/security/vulnerable-applications-for-practicing-pentesting/
14. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
15. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
16. Міністерство соціальної політики України. (2018). Наказ "Про затвердження Вимог щодо безпеки та захисту здоров’я працівників під час роботи з екранними пристроями". Retrieved from https://zakon.rada.gov.ua/laws/show/z0508-18
17. Закон України "Про охорону праці". (1992). Retrieved from https://zakon.rada.gov.ua/laws/show/2694-12
18. Міністерство внутрішніх справ України. (2015). Наказ "Про затвердження Правил пожежної безпеки в Україні". Retrieved from https://zakon.rada.gov.ua/laws/show/z0252-15
19. Державний комітет ядерного регулювання України. (2008). Проект консультацій щодо підвищення безпеки джерел іонізуючого випромінювання в Україні. Київ.
20. ISO. (2010). ISO 9241-210:2010. Ergonomics of human-system interaction — Principles and requirements for designing ergonomic systems.
21. Сидоренко, Є. В. (2019). Основи ергономіки та безпеки життєдіяльності. Київ: Наукова думка.
22. World Health Organization. (2020). Working Safely with Display Screen Equipment. Retrieved from https://www.who.int
Content type: Master Thesis
Appears in Collections:125 — кібербезпека, Кібербезпека та захист інформації

Files in This Item:
File Description SizeFormat 
Master's_Thesis__SB-61_Slypskyi_B_V_2024.pdf1,51 MBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Admin Tools