Web-sovellusten murtautumistestaus

Abstract

Tämän opinnäytetyön tarkoituksena on kartoittaa Whitestone Oy:n web-sovelluksien tietoturvaa. Toimeksiannon syynä on yrityksen jatkuva halu kehittää tuotteidensa laatua ja tietoturvaa sekä parantaa sisäisiä tietoturvan testauksen prosesseja. Kyseessä on yritys, joka tuottaa monipuolisesti IT- ja digitalisaatiopalveluja. Täten yrityksen tuottamien töiden tietoturva on yritykselle elintärkeää sen toiminnan sekä imagon kannalta. Työ on erittäin ajankohtainen sillä tietoturva on viime vuosina ollut suuri puheenaihe tietotekniikan alalla, ja monet yritykset ovatkin markkina-arvonsa kasvattamiseksi panostaneet entistä enemmän tietoturvaan ja sen mainostamiseen.

Opinnäytetyön teoriaosuus muodostuu web-sovelluksiin kohdistuvien tietoturvauhkien tutkimisesta. Samalla selvitetään hieman uhkien toimintaa ja yleisiä ehkäisytapoja. Käytännön osuus koostuu testauksen suunnittelusta, testausprosessista ja sen tuloksien dokumentoinnista ja käytettyjen metodien selvittämisestä. Työssä tullaan käyttämään pääasiallisesti avoimen lähdekoodin työkaluja sekä alustoja. Hyökkäysalustana käytetään Kali-Linux käyttöjärjestelmää ja Open Web Application Security Project (OWASP) Zed Attack Proxy (ZAP) -turvallisuusskanneria.

Lopputuloksena on tietoa nykyisten sovellusten tietoturvasta toimeksiantajalle sekä yleisellä tasolla toistettava testausprosessi. Tuloksien pohjalta kehitetään raporttipohja, jonka avulla pystytään selittämään mahdolliset uhat ja toimenpiteet järkevästi niin johtoportaalle kuin IT-henkilöstölle.

The purpose of this thesis was to map the security of the Whitestone company web applications. The reason for this commission is the company’s continued will to improve the quality and information security of their products and testing processes. The company in question produces a wide array of IT and digitalization services. Because of this, the information security of their products is vitally important for the company operations and image. The result of the thesis, is a generally repeatable testing process. The results of the tests will be used to create a report template. The template can be used so that the threats found can be explained to the management and IT personnel.

The subject of the thesis is very current. For the past few years information security has been a huge global subject in the IT industry. Many companies have been putting more resources into bolstering their information security and the marketing of it.

The theoretical part of thesis provides a literature review of security threats that target web applications, and the common prevention methods for these threats. The actual practical part of the thesis consists of planning the security testing, its process and the documentation of the results. In this thesis we mainly used open-source tools and platforms. As the attacker platform we used the Kali-Linux operating system and the Open Web Application Security Project (OWASP) Zed Attack Proxy (Zap) security scanner. The end result was information about the current application information security for the commissioner of the thesis and suggestions on fixing any potential security threats.