Perspectives of Automation of Penetration Testing for Security Assessment of Web Applications

Graduate papers

Search graduate papers

Description of the graduate paper

Form of studies	Master
Title of the study programm	Cybersecurity Engineering
Title in original language	Ielaušanās testēšanas automatizācijas perspektīvas tīmekļa lietotņu drošības novērtēšanai
Title in English	Perspectives of Automation of Penetration Testing for Security Assessment of Web Applications
Department	Faculty Of Computer Science Information Tehnology And Energy
Scientific advisor	Ērika Nazaruka
Reviewer	Antons Patļins
Abstract	Ar katru gadu arvien pieaug kiberuzbrukumu skaits, kuri tiek vērsti pret tīmekļa lietotnēm, kā rezultātā tiek izpausti sensitīvi dati, radīti finansiāli zaudējumi un kaitējums reputācijai. Pēdējo gadu ievērojamā attīstība mākslīgā intelekta jomā sniedz tehnoloģiskas iespējas izmantot lielos valodas modeļus gan kā uzbrukuma, gan aizsardzības mehānismus kiberjomā. Maģistra darba mērķis ir novērtēt lielo valodas modeļu izmantošanu tīmekļa lietotņu ielaušanās testēšanas automatizēšanai. Novērtēšana tiek veikta, izmantojot izstrādāto prototipu, kas mijiedarbojas ar testējamo tīmekļa lietotni, identificējot esošās ievainojamības un sniedzot lietotājam ieteikumus to novēršanai. Prototips ietver sevī dokumentu krātuvi, lietotāja uzvednes, kas satur specifiskas instrukcijas, sarunu žurnalēšanu un vairākus plaši pieejamus atvērtā koda ielaušanās testēšanas rīkus. Prototipa rezultāti tiek novērtēti, izmantojot vairākas metrikas: precizitāti, atsaukšanu un F1 mēru. Pēc tam šie rezultāti tiek salīdzināti ar ZAP ievainojamības skeneri. Tiek ņemta vērā arī manuālā testēšana un prototipa resursu (procesora, videokartes, atmiņas) izmantošana. Rezultāti norāda, ka ievainojamību identificēšana, izmantojot lielos valodas modeļus, ir mazāk precīza, salīdzinot ar ZAP ievainojamības skeneri, kas liecina par turpmākajiem prototipa uzlabojumiem. Maģistra darbs sastāv no 75 lappusēm, 8 tabulām, 42 attēliem, 11 pielikumiem un 108 atsauču avotiem.
Keywords	automatizācija, tīmekļa lietotnes, lielie valodas modeļi, ielaušanās testēšana, ētiskā uzlaušana
Keywords in English	automation, web applications, large language models, penetration testing, ethical hacking
Language	eng
Year	2024
Date and time of uploading	24.05.2024 16:16:14