Bachelor's Thesis

Security analysis of internal systems at Brno University of Technology - Studis

Author of thesis: Ondřej Horák

Acad. year: 2025/2026

Supervisor: doc. Mgr. Kamil Malinka, Ph.D.

Reviewer: Ing. Milan Šalko

Abstract:

The goal of this thesis was to assess the security of the Studis web application, which is a part of the Brno University of Technology’s information system, and to produce a report
based on the discoveries made during testing. The conducted penetration tests focused
on authentication, authorization, session management, input validation, and cryptography.
The individual test cases were based on the OWASP Web Security Testing Guide. The
penetration testing identified six security issues, ranging from high to informational in
severity. The most critical issue was reflected cross site scripting (XSS). The main product
of this thesis is the penetration testing report, which can be utilised by Studis developers
to improve the application’s security.

Keywords:

penetration testing, security analysis, web security, bug bounty, IS BUT

Date of defence

19.06.2026

Date of publish

19.06.2027

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných, např. ohledně reportovaných doporučení k nápravě bezpečnostních nedostatků. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B - velmi dobře.

Language of thesis

English

Faculty

Fakulta informačních technologií

Department

Department of Intelligent Systems

Study programme

Information Technology (BIT)

Composition of Committee

doc. Dr. Ing. Otto Fučík (předseda)
doc. Mgr. Kamil Malinka, Ph.D. (místopředseda)
Ing. Marta Jaroš, Ph.D. (člen)
Ing. Vladimír Veselý, Ph.D. (člen)
Ing. David Bařina, Ph.D. (člen)

Supervisor’s report
doc. Mgr. Kamil Malinka, Ph.D.

Při celkovém hodnocení nejvíce zohledňuji velmi dobré zpracování realizačního výstupu, report je na výborné úrovni. Student splnil všechny body zadání ve velmi dobré kvalitě. Při řešení práce postupoval systematicky a velmi dobře si poradil s technickými překážkami. Výsledky práce a nález existujících zranitelností ukazují, že má smysl  podobná testování realizovat, protože vedou k vyšší bezpečnosti provozovaných systémů. Kvalita textu je na vysoké úrovni. Pozitivně hodnotím zpracování práce v angličtině.

Evaluation criteria Verbal classification
Informace k zadání

Jedná se o průměrně obtížné zadání. Student měl nastudovat dobré praktiky bezpečnostního testování a získané znalosti využít při testování reálného systému VUT. Součástí tak byla i spolupráce s CIS VUT a dodržování domluvených protokolů a postupů pro zodpovědné hlášení zranitelností. Student splnil všechny body ve velmi dobré kvalitě, zorientoval se v existujících testovacích frameworcích, dle získaných znalostí navrhl korektní metodiku testování, testování realizoval a vše zpracoval do reportu, který byl odevzdán na CIS. Student nalezl 6 zranitelností, z nichž jedna byla vysoké závažnosti. Student nad rámec reportu zpracoval i doporučení, jak dané zranitelnosti mitigovat.
Práce s literaturou

Student aktivně vyhledával relevantní dostupnou literaturu a vhodně ji začlenil do své práce. Využil také dostupných online kurzů pro etické hackování. Vyšší procento (9,1%) v systému Theses je dáno použitím termínů ze standardních frameworků pro testování. Vše mi přijde dostatečně citované a korektně použité.
Aktivita během řešení, konzultace, komunikace

Po téměř celou dobu řešení jsme měli pravidelné schůzky, na kterých byly konzultovány dílčí kroky řešení a celkový směr práce. V posledních dvou měsících aktivita trošku opadla. Student byl nicméně vždy výborně připraven. 
Aktivita při dokončování

Student obsah práce konzultoval průběžně a její definitivní obsah mi byl zaslán k připomínkování v dostatečném předstihu. Všechny mé připomínky k práci byly zapracovány.
Publikační činnost, ocenění

Tato práce má z důvodu zodpovědného hlášení zranitelností pozdržené zveřejnění, protože je nutno poskytnout čas na nápravu. Report je již v rukou CIS VUT.  
Points proposed by supervisor: 85

Grade proposed by supervisor: B

Reviewer’s report
Ing. Milan Šalko

Student splnil zadání bez výhrad, zpracoval relevantní teoretická a metodická východiska a provedl autorizované bezpečnostní testování reálného interního systému. Za hlavní přínos práce považuji praktický výstup ve formě reportu pro CIS VUT, který popisuje nalezené zranitelnosti a obsahuje doporučení k jejich nápravě.


Technická zpráva je srozumitelná, má logickou strukturu a neobsahuje významnější formální nedostatky. Práce se zdroji je převážně v pořádku, pouze využití Wikipedie nepovažuji v odborném textu za ideální. U realizační části bych uvítal podrobnější popis nastavení použitých nástrojů a více konkrétních údajů o průběhu a rozsahu provedeného testování.

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: průměrně obtížné zadání

Zadání hodnotím jako průměrně obtížné. Práce vyžadovala seznámení se s relevantními metodikami bezpečnostního testování webových aplikací, právními a etickými omezeními penetračního testování a následné praktické provedení autorizovaného testování reálného interního systému.
Prezentační úroveň technické zprávy

Prezentační úroveň práce je dobrá. Technická zpráva je pro čtenáře srozumitelná a jednotlivé kapitoly na sebe logicky navazují.

 90
Formální úprava technické zprávy

Práce neobsahuje významnější typografické chyby. Po formální stránce je technická zpráva zpracována přehledně a bez zásadních nedostatků, které by ztěžovaly její čitelnost nebo porozumění textu.

 90
Realizační výstup

Realizačním výstupem práce je report pro CIS VUT, který popisuje jednotlivé identifikované zranitelnosti a obsahuje doporučení k jejich nápravě. Student v metodické části popsal, jak zvolenou metodologii uplatnil při své práci. V některých částech by však bylo vhodné doplnit podrobnější informace o nastavení použitých nástrojů, případně uvést více konkrétních číselných údajů nebo parametrů, které by umožnily lépe posoudit rozsah a průběh provedeného testování.

 75
Využitelnost výsledků

Výsledky práce mají praktickou využitelnost především ve formě vytvořeného reportu pro CIS VUT. Tento report může sloužit jako podklad pro další zlepšování bezpečnosti systému Studis a pro prioritizaci nápravy zjištěných problémů.
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Zadání považuji za splněné bez výhrad. Student se seznámil s relevantními metodikami a nástroji, vymezil právní a etické hranice testování, navrhl testovací postup a provedl praktické bezpečnostní testování systému Studis v autorizovaném rozsahu. Výsledky testování následně zpracoval do reportu obsahujícího nalezené zranitelnosti a doporučení.
Rozsah technické zprávy

Evaluation level: je v obvyklém rozmezí

Technická zpráva má přibližně 52 normostran. Rozsah práce odpovídá požadavkům kladeným na bakalářskou práci. Text obsahuje relevantní informace vztahující se k tématu práce a jednotlivé části technické zprávy jsou věcně zaměřené na řešenou problematiku.
Práce s literaturou

Práce obsahuje 38 zdrojů. Výběr literatury je vzhledem k tématu práce převážně relevantní a zahrnuje zdroje vztahující se k bezpečnostnímu testování, metodikám a související problematice. Menší výhradu mám k využití Wikipedie jako zdroje v odborném textu. Jinak však práce se zdroji nepůsobí problematicky.

 80
Points proposed by reviewer: 75

Grade proposed by reviewer: C

Reasons for publication postponement

Publication of the final thesis has been postponed in compliance with the provisions of Section 47b (4) of Act No. 111/1998 Coll., on the Higher Education Institutions and on amendments and supplements to other acts, as amended.

Responsibility: Mgr. et Mgr. Hana Odstrčilová