Tietoturvatyökalujen tuominen osaksi testausprosessia

Abstract

Opinnäytetyö tehtiin Codemate-nimiselle suomalaiselle ohjelmistoyritykselle, joka tarvitsi hyvää vertailua nykyisistä tietoturvatestaukseen suunnitelluista työkaluista. Vertailun tavoitteena oli löytää ja valita sopivat työkalut, joita voidaan hyödyntää Codematen testausprosessissa. Vertailua oli tarkoituksena tehdä lähinnä web-sovelluksiin suunnattuihin työkaluihin, mutta lisäksi mukaan otettiin myös muutamia verkko- ja palvelinskannereita ja Content Management System –skannereita. Vertailtavien työkalujen valintaan käytettiin muutamia kriteerejä. Tärkeimpinä kriteereinä olivat työkalun haavoittuvuuksien löytökyky, työkalun käytettävyys, raporttien laatu ja selkeys sekä jatkuva kehitys tasaisilla päivityksillä. Kaikista työhön valituista työkaluista kirjoitettiin selkeät ja laajat teoriaosuudet joissa tuotiin esille työkalujen perustiedot, tarkat tekniset ominaisuudet, käyttöliittymät sekä skannereiden tekemät haavoittuvuustestit. Toteutusosuudessa vertailtiin valittuja web-sovelluksiin suunnattuja työkaluja tarkemmin. Jokaisesta työkalusta vertailtiin hintaa, WAVSEP-tuloksia, OWASP top 10 kattavuutta, käytettävyyttä/ominaisuuksia ja päivityksiä. Tulososuudessa valittiin vertailluista työkaluista Codematelle sopivat ja maksullisille työkaluille valittiin myös ilmainen vaihtoehto. Valitut web-sovelluten automaattiset skannerit olivat Arachni, Acuentix, Tinfoil Security ja CMSmap. Valitut web-sovellusten manuaaliset testityökalut olivat Burp Suite ja OWASP ZAP. Web-sovellusten exploit-työkaluiksi valittiin SQLmap ja W3AF. Palvelin- ja verkkoskannereiksi valittiin OpenVAS sekä NMAP. Työtä tehdessä selvisi, että web-sovellusskannereille on todella vaikea tehdä luotettavia vertailutestejä johtuen haavoittuviksi tehtyjen web-sovellusten ja oikeiden web-sovellusten eroavaisuuksista. Yhdellä työkalulla ei myöskään tietoturvatestauksessa usein pärjää vaan parhaat tulokset saa, kun joka osa-alueeseen käyttää siihen suunniteltua työkalua.

The Bachelor’s thesis was assigned by a Finnish software company named Codemate. Codemate needed a good comparison of web application security-testing tools. The goal with the comparison was to find the right tools for Codemate’s testing process. The comparison was to be done mostly between the web application security-testing tools and also some network scanners and Content Management System scanners were to be included. Few criteria were used to choose the tools for comparison. The most important criteria were the vulnerability detection ability and usability of the tool, the quality of reports and continuous development including updates. An extensive theory section was written on every tool which includes the basic info, technical features, available user interfaces and the security tests executed by the scanner. In the comparison section the web application testing tools were compared in more detail. Every tool was compared regarding its price, WAVSEP score, OWASP top 10 coverage, usability, features and updates. In the results section the suitable tools were chosen for Codemate and for every commercial tool there was also a free option. The chosen automatic scanners for web applications were Arachni, Acuentix, Tinfoil Security and CMSmap. The chosen manual tools for web applications were Burp Suite and OWAPS ZAP. The tools chosen for exploiting were SQLmap and W3AF. OpenVAS and NMAP were chosen for network scanning. During the thesis it became clear that a reliable comparison of web application security-scanners is not that easy because of the differences in designed to be vulnerable web applications and real world web applications. Also, one tool is rarely enough for security testing and often the best results are achieved by using the right tool for the part it is mostly designed for.