Penetration testing of web applications using fuzzing techniques

Područje specijalističkog rada obuhvaća pregled najčešćih ranjivosti web aplikacija te opis postupka ispitivanja ranjivosti web aplikacija slijedeći metodu zajednice OWASP. Opisan je općeniti algoritam za neizrazito ispitivanje koji se može koristiti za ispitivanje navedenih ranjivosti. Opisana je podjela alata za neizrazito ispitivanje i dan je primjer arhitekture takvog alata. Opisan je posrednički poslužitelj Mitmproxy. U okviru rada ostvareno je programsko rješenje za neizrazito ispitivanje korištenjem napada grubom silom, prikazan je primjer njegove upotrebe i dane su smjernice za daljnji razvoj.The area of specialization includes a description of the most common web application vulnerabilities. It describes the web application testing process following the OWASP method. It provides description of a general fuzzing algorithm able to detect said vulnerabilities. The paper describes classification of fuzzing tools and provides an architecture overview. The paper contains an overview of the Mitmproxy proxy tool. It provides a description and implementation of a simple fuzzing tool used for brute force testing and provides guidelines for further development