Web application security testing with OWASP Top 10 framework
Willberg, Mikael (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019052111103
https://urn.fi/URN:NBN:fi:amk-2019052111103
Tiivistelmä
The purpose of this thesis was to evaluate the security of the commissioners web application by conducting a web application security test. The goal was to increase the security of the target web application by reporting on potential security risks which were discovered during the test, so that corrective actions can be taken to mitigate them.
The theoretical part of the thesis describes the most common web application security risks according to the OWASP (Open Web Application Security Project) Top 10 – 2017 list. The practical part of the thesis consists of planning and preparing the testing, the testing process itself, and the reporting of findings from the test. Preparations and planning included getting familiar with the target web application, and preparing the tools which were to be used in the testing. Security testing was done by manually observing the target web application and complemented by automatic scanning tools. OWASP Top 10 – 2017 framework was used as a baseline to perform vulnerability assessment against application. The result of the security test was a report which contained detailed descriptions of each finding, and brief recommendations for mitigating each security risk. Tämän opinnäytetyön tarkoituksena oli arvioida toimeksiantajan web-sovelluksen tietoturvaa suorittamalla web-sovelluksen tietoturvatestaus. Tavoitteena oli parantaa kohteena olevan web-sovelluksen tietoturvaa raportoimalla mahdollisista tietoturvariskeistä jotka löytyivät testauksessa, niin että korjaavia toimenpiteitä voidaan suorittaa riskien lieventämiseen.
Opinnäytetyön teoriaosuus kuvailee yleisimpiä web-sovelluksien tietoturvariskejä, OWASP (Open Web Application Security Project) Top 10 – 2017 listan perusteella. Käytännön osuus koostuu testauksen suunnittelusta ja valmistelusta, itse testausprosessista, sekä testauksessa tehtyjen löydöksien raportoinnista. Valmistelu- ja suunnitteluvaiheessa tutustuttiin kohteena olevaan web-sovellukseen, ja valmisteltiin testauksessa käytettävät työkalut. Tietoturvatestaus tehtiin tutkimalla manuaalisesti kohteena olevaa web-sovellusta sekä automaattisia skannaustyökaluja hyödyntäen. OWASP Top 10 – 2017 viitekehystä käytettiin haavoittuvuuksien arviointiin ja luokitteluun. Testauksen tuloksena oli raportti joka sisälsi yksityiskohtaiset kuvailut jokaisesta löydöksestä, sekä lyhyet suositukset tietoturvariskien lieventämiseen.
The theoretical part of the thesis describes the most common web application security risks according to the OWASP (Open Web Application Security Project) Top 10 – 2017 list. The practical part of the thesis consists of planning and preparing the testing, the testing process itself, and the reporting of findings from the test. Preparations and planning included getting familiar with the target web application, and preparing the tools which were to be used in the testing. Security testing was done by manually observing the target web application and complemented by automatic scanning tools. OWASP Top 10 – 2017 framework was used as a baseline to perform vulnerability assessment against application. The result of the security test was a report which contained detailed descriptions of each finding, and brief recommendations for mitigating each security risk.
Opinnäytetyön teoriaosuus kuvailee yleisimpiä web-sovelluksien tietoturvariskejä, OWASP (Open Web Application Security Project) Top 10 – 2017 listan perusteella. Käytännön osuus koostuu testauksen suunnittelusta ja valmistelusta, itse testausprosessista, sekä testauksessa tehtyjen löydöksien raportoinnista. Valmistelu- ja suunnitteluvaiheessa tutustuttiin kohteena olevaan web-sovellukseen, ja valmisteltiin testauksessa käytettävät työkalut. Tietoturvatestaus tehtiin tutkimalla manuaalisesti kohteena olevaa web-sovellusta sekä automaattisia skannaustyökaluja hyödyntäen. OWASP Top 10 – 2017 viitekehystä käytettiin haavoittuvuuksien arviointiin ja luokitteluun. Testauksen tuloksena oli raportti joka sisälsi yksityiskohtaiset kuvailut jokaisesta löydöksestä, sekä lyhyet suositukset tietoturvariskien lieventämiseen.