OWASP ZAP -tietoturvatestaustyökalun käyttö websovelluskehityksen tukena
Saastamoinen, Miika (2018)
Saastamoinen, Miika
Kajaanin ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018111817390
https://urn.fi/URN:NBN:fi:amk-2018111817390
Tiivistelmä
Tietosuoja ja -turva on aina ollut tärkeä asia ihmisten yksityisyydensuojan turvaamiseksi. Ennen Internetiä, ulkopuolisten ihmisten oli vaikea päästä toisten ihmisten tietoihin käsiksi, sillä tiedot olivat todennäköisesti lukkojen takana paperitulosteena. Kun palvelut siirtyvät huimaa vauhtia verkkoon, on kaikilla Internetin käyttäjillä potentiaalinen mahdollisuus päästä sellaiseen tietoon käsiksi, johon heillä ei ole oikeutta. Opinnäytetyön suurena tavoitteena on laajentaa lukijan käsitystä tietoturvan tärkeydestä.
Opinnäytetyössä tutkittiin, miten OWASP ZAP -tietoturvatestaustyökalu (myöhemmin työssä ZAP) toimii, ja miten sitä voidaan hyödyntää sovelluskehityksessä. Jotta ZAP:n käytölle olisi jokin syy, täytyi ensin tutkia mitä tietoturva on ja millaisia säädöksiä tietoturvalle on asetettu. Ennen itse ohjelman käyttöä opinnäytetyössä käydään läpi tietoturvan perusteita ja GDPR-lainsäädäntöä lyhyesti.
ZAP toimii kaikilla yleisimmillä käyttöjärjestelmillä, mutta tämä työ keskittyy sen käyttöön Linux Mint -käyttöjärjestelmällä. Työn lopputuloksena on valmis käyttöohje, jonka avulla luodaan turvallinen ympäristö ZAP:n käyttöön ja päästään alkuun tietoturvatestauksen saralla. Ohjeessa käydään läpi muutama yleinen hyökkäystapa, joita käytetään verkkosovelluksia vastaan. Niiden avulla lukija voi tehdä päätelmiä siitä, millaisia testejä voi tehdä omille sovelluksille haavoittuvuuksien löytämiseksi. Käyttöohje on suunnattu sellaisille sovelluskehittäjille ja -testaajille, joilla on kokemusta websovellusten parissa työskentelystä.
Opinnäytetyössä tutkittiin, miten OWASP ZAP -tietoturvatestaustyökalu (myöhemmin työssä ZAP) toimii, ja miten sitä voidaan hyödyntää sovelluskehityksessä. Jotta ZAP:n käytölle olisi jokin syy, täytyi ensin tutkia mitä tietoturva on ja millaisia säädöksiä tietoturvalle on asetettu. Ennen itse ohjelman käyttöä opinnäytetyössä käydään läpi tietoturvan perusteita ja GDPR-lainsäädäntöä lyhyesti.
ZAP toimii kaikilla yleisimmillä käyttöjärjestelmillä, mutta tämä työ keskittyy sen käyttöön Linux Mint -käyttöjärjestelmällä. Työn lopputuloksena on valmis käyttöohje, jonka avulla luodaan turvallinen ympäristö ZAP:n käyttöön ja päästään alkuun tietoturvatestauksen saralla. Ohjeessa käydään läpi muutama yleinen hyökkäystapa, joita käytetään verkkosovelluksia vastaan. Niiden avulla lukija voi tehdä päätelmiä siitä, millaisia testejä voi tehdä omille sovelluksille haavoittuvuuksien löytämiseksi. Käyttöohje on suunnattu sellaisille sovelluskehittäjille ja -testaajille, joilla on kokemusta websovellusten parissa työskentelystä.