E-learning applications and data security

This bachelor's thesis addresses the topic of security threats for web applications, with the practical part presenting a security assessment of selected e-learning applications. It describes the most common current threats for web applications, attack techniques and security techniques. The web environment gave rise to a whole range of techniques for breaching the security of web applications, and this thesis therefore presents the most common threats. The second part of the thesis introduces security techniques, both general techniques based on securing the protocol and techniques against specific threats. The protocol on which an application runs is one of the most important security components, and therefore the thesis analyses the functioning of the HTTPS protocol and its security layers in greater detail. The following part provides an analysis of the field of e-learning security. The reader learns about the security risks which he can encounter in operating open source e-learning solutions. The conclusion of the theoretical part describes the basic principles of security testing by means of the methods defined by the Open Web Application Security Project. The practical part of the thesis deals with the results of security testing of three selected open-source software systems: Moodle, Dokeos and eFront. The testing was focused on threats introduced in the theoretical part of the thesis and uses the findings from the OWASP Testing Guide v3. Individual testing attacks, their results and overall security recommendations are described for every tested e-learning system. The conclusion of the practical part provides an overall assessment of the tested systems.V této bakalářské práci je řešeno téma bezpečnostních hrozeb pro webové aplikace s praktickou částí vyhodnocení zabezpečení vybraných e-learningových aplikací. Jsou zde popsány nejčastější současné hrozby pro webové aplikace, techniky útoků a techniky zabezpečení. Prostředí webu dalo vzniknout celé škále technik narušení bezpečnosti webových aplikací. První část práce je věnována především nejčastějším hrozbám a útokům. V další části práce jsou představeny techniky zabezpečení, a to jak obecné založené na zabezpečení protokolu, tak i techniky proti konkrétním hrozbám. Protokol, na kterém aplikace běží, je jednou z nejdůležitějších složek bezpečnosti, proto je v práci podrobněji popsáno fungování protokolu HTTPS a jeho bezpečnostních vrstev. Dále je rozebrána oblast bezpečnosti e-learningu. Čtenář bude seznámen s bezpečnostními riziky, se kterými se může setkat při provozu open-source e-learningových řešení. Na závěr teoretické části jsou popsány základní principy bezpečnostního testování pomocí metodiky definované OWASP (Open Web Application Security Project). Praktická část práce se věnuje výsledkům testování bezpečnosti 3 vybraných open-source software systémů: Moodle, Dokeos a eFront. Testování bylo zaměřeno na hrozby popsané v teoretické části práce a využívá poznatky z příručky OWASP Testing Guide v3. U každého testovaného e-learningového systému jsou popsány jednotlivé testovací útoky, jejich výsledky a celkové bezpečnostní doporučení. V závěru praktické části je uvedeno celkové vyhodnocení testovaných systémů