Web-sovellusten tietoturvatestaaminen : Case: kolme kriittisintä haavoittuvuutta
Järvinen, Toni (2014)
Järvinen, Toni
Hämeen ammattikorkeakoulu
2014
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2014060311608
https://urn.fi/URN:NBN:fi:amk-2014060311608
Tiivistelmä
Tämän opinnäytetyön toimeksiantajana oli Hämeen ammattikorkeakoulun tietojenkäsittelyn koulutusohjelma. Opinnäytetyön ensisijainen tavoite oli parantaa Web-sovellusten tietoturvaa. Opinnäytetyö on osa Web-sovellusten tietoturvatestaamisen oppimiseen tarkoitetun materiaalin tuottamisprosessia. Työn aiheena oli tutkia kolmea kriittisintä Web-sovellusten haavoittuvuutta, näissä käytettyjä tekniikoita ja näiden hyväksikäyttöä Web-sovellusten tietoturvan testaamisessa. Haavoittuvuuksia tutkitaan injektioista, autentikoinnista ja sessioista. Työssä esitellään myös tietoturvatestaamisen menetelmiä, prosessia ja ohjelmia.
Opinnäytetyön lähteinä käytettiin useaa kirjoitettua teosta ja näistä koos-tettiin kattava yhteenveto, jonka avulla saadaan hyvä yleiskuva tietoturvatestaamisesta. Haavoittuvuuksien kartoitusta ja hyväksikäyttöä testattiin Damn Vulnerable Web Application -sovellukseen eristetyssä käyttöjärjestelmässä, joka oli asennettu avoimen lähdekoodin virtuaalisointialustalle. Käytännössä tämän opinnäytetyön tulokset ovat kenen tahansa uudelleen toteutettavissa ilman maksullisia alustoja, käyttöjärjestelmiä ja ohjelmia.
Tämän opinnäytetyön avulla pystytään luomaan tietoturvakurssille Web-sovellusten tietoturvan perusratkaisuja kyseenalaistavaa materiaalia ja oppilaita motivoivia ongelmia, joita ratkoessaan oppilaiden tietoturvaosaa-minen sovellusten suunnittelussa ja toteutuksessa paranee huomattavasti. Tämä parantaa oppilaiden ammatillista osaamista ja syventää heidän tietämystään Web-sovelluksista ja niissä käytetyistä tekniikoista.
Opinnäytetyön lähteinä käytettiin useaa kirjoitettua teosta ja näistä koos-tettiin kattava yhteenveto, jonka avulla saadaan hyvä yleiskuva tietoturvatestaamisesta. Haavoittuvuuksien kartoitusta ja hyväksikäyttöä testattiin Damn Vulnerable Web Application -sovellukseen eristetyssä käyttöjärjestelmässä, joka oli asennettu avoimen lähdekoodin virtuaalisointialustalle. Käytännössä tämän opinnäytetyön tulokset ovat kenen tahansa uudelleen toteutettavissa ilman maksullisia alustoja, käyttöjärjestelmiä ja ohjelmia.
Tämän opinnäytetyön avulla pystytään luomaan tietoturvakurssille Web-sovellusten tietoturvan perusratkaisuja kyseenalaistavaa materiaalia ja oppilaita motivoivia ongelmia, joita ratkoessaan oppilaiden tietoturvaosaa-minen sovellusten suunnittelussa ja toteutuksessa paranee huomattavasti. Tämä parantaa oppilaiden ammatillista osaamista ja syventää heidän tietämystään Web-sovelluksista ja niissä käytetyistä tekniikoista.