Web-sovellusten murtautumistestaus
Marttinen, Sami (2016)
Marttinen, Sami
Turun ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2016061513033
https://urn.fi/URN:NBN:fi:amk-2016061513033
Tiivistelmä
Tämän opinnäytetyön tarkoituksena on kartoittaa Whitestone Oy:n web-sovelluksien tietoturvaa. Toimeksiannon syynä on yrityksen jatkuva halu kehittää tuotteidensa laatua ja tietoturvaa sekä parantaa sisäisiä tietoturvan testauksen prosesseja. Kyseessä on yritys, joka tuottaa monipuolisesti IT- ja digitalisaatiopalveluja. Täten yrityksen tuottamien töiden tietoturva on yritykselle elintärkeää sen toiminnan sekä imagon kannalta. Työ on erittäin ajankohtainen sillä tietoturva on viime vuosina ollut suuri puheenaihe tietotekniikan alalla, ja monet yritykset ovatkin markkina-arvonsa kasvattamiseksi panostaneet entistä enemmän tietoturvaan ja sen mainostamiseen.
Opinnäytetyön teoriaosuus muodostuu web-sovelluksiin kohdistuvien tietoturvauhkien tutkimisesta. Samalla selvitetään hieman uhkien toimintaa ja yleisiä ehkäisytapoja. Käytännön osuus koostuu testauksen suunnittelusta, testausprosessista ja sen tuloksien dokumentoinnista ja käytettyjen metodien selvittämisestä. Työssä tullaan käyttämään pääasiallisesti avoimen lähdekoodin työkaluja sekä alustoja. Hyökkäysalustana käytetään Kali-Linux käyttöjärjestelmää ja Open Web Application Security Project (OWASP) Zed Attack Proxy (ZAP) -turvallisuusskanneria.
Lopputuloksena on tietoa nykyisten sovellusten tietoturvasta toimeksiantajalle sekä yleisellä tasolla toistettava testausprosessi. Tuloksien pohjalta kehitetään raporttipohja, jonka avulla pystytään selittämään mahdolliset uhat ja toimenpiteet järkevästi niin johtoportaalle kuin IT-henkilöstölle.
Opinnäytetyön teoriaosuus muodostuu web-sovelluksiin kohdistuvien tietoturvauhkien tutkimisesta. Samalla selvitetään hieman uhkien toimintaa ja yleisiä ehkäisytapoja. Käytännön osuus koostuu testauksen suunnittelusta, testausprosessista ja sen tuloksien dokumentoinnista ja käytettyjen metodien selvittämisestä. Työssä tullaan käyttämään pääasiallisesti avoimen lähdekoodin työkaluja sekä alustoja. Hyökkäysalustana käytetään Kali-Linux käyttöjärjestelmää ja Open Web Application Security Project (OWASP) Zed Attack Proxy (ZAP) -turvallisuusskanneria.
Lopputuloksena on tietoa nykyisten sovellusten tietoturvasta toimeksiantajalle sekä yleisellä tasolla toistettava testausprosessi. Tuloksien pohjalta kehitetään raporttipohja, jonka avulla pystytään selittämään mahdolliset uhat ja toimenpiteet järkevästi niin johtoportaalle kuin IT-henkilöstölle.