Tietoturvallinen WWW-ohjelmointi
Waltzer, Jaakko (2012)
Tampereen ammattikorkeakoulu
2012
Creative Commons Attribution-NonCommercial-NoDerivs 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201204305590
https://urn.fi/URN:NBN:fi:amk-201204305590
Tiivistelmä
Opinnäytetyö käsittelee tietoturvan perusteita ja tietoturvallista WWW-ohjelmointia. Työn kohderyhmä on aloittelevat WWW-ohjelmoijat, hiukan ohjelmointia osaavat sekä tietoturvasta yleisellä tasolla kiinnostuneet henkilöt. Opinnäytetyössä kerrataan tietoturvan periaatteet lyhyesti ja käydään läpi tavallisimmat verkkouhkat, joista pääpaino on injektiohyökkäyksissä (XSS-hyökkäys, SQL-injektio).
Työn tavoitteena oli kartoittaa keskeiset verkkouhat ja -hyökkäykset ja etsiä ratkaisut niiden torjumiseksi. Lähestymistapa verkkohyökkäyksiin on käytännönläheinen. Siksi työssä selvitetään kokeellisesti hyökkäyksen toteuttaminen. Valtaosa hyökkäyksistä simuloitiin suojaamattomassa testiympäristössä. Suojaamattoman testiympäristön tarkoitus oli osoittaa konkreettisesti hyökkäyksen toteutus ja vaikutus WWW-palveluun. Kokeellisten hyökkäyksien lisäksi raportissa käydään läpi menetelmiä, joilla hyökkäyksiä voidaan ehkäistä. Menetelmiä täydennetään tarkastelemalla hakemistorakenteen suunnittelua, tiedostojen ja hakemistojen oikeuksia ja suojausta sekä PHP:n konfigurointia tietoturvan kannalta kriittisiltä alueilta. Työ sisältää runsaasti esimerkkejä sekä hyökkäyksistä että toimintamalleja niiden torjunnasta.
Opinnäytetyön tuloksena syntyi tietoturvan perusopas. Oppaan keskeinen tarkoitus on auttaa kohderyhmää sekä tiedostamaan verkkohyökkäysten vaarallisuus että oppia yksinkertaiset menetelmät niiden ehkäisyyn. Opas ei ole kaikenkattava, mutta toimii hyvänä perustyökalupakkina, jonka avulla kohderyhmä voi rakentaa turvallisempia WWW-sovelluksia. Lisäksi oppaan tarkoitus on auttaa lukijaa ymmärtämään tietoturvan merkitys WWW-ohjelmoinnissa.
Työn tavoitteena oli kartoittaa keskeiset verkkouhat ja -hyökkäykset ja etsiä ratkaisut niiden torjumiseksi. Lähestymistapa verkkohyökkäyksiin on käytännönläheinen. Siksi työssä selvitetään kokeellisesti hyökkäyksen toteuttaminen. Valtaosa hyökkäyksistä simuloitiin suojaamattomassa testiympäristössä. Suojaamattoman testiympäristön tarkoitus oli osoittaa konkreettisesti hyökkäyksen toteutus ja vaikutus WWW-palveluun. Kokeellisten hyökkäyksien lisäksi raportissa käydään läpi menetelmiä, joilla hyökkäyksiä voidaan ehkäistä. Menetelmiä täydennetään tarkastelemalla hakemistorakenteen suunnittelua, tiedostojen ja hakemistojen oikeuksia ja suojausta sekä PHP:n konfigurointia tietoturvan kannalta kriittisiltä alueilta. Työ sisältää runsaasti esimerkkejä sekä hyökkäyksistä että toimintamalleja niiden torjunnasta.
Opinnäytetyön tuloksena syntyi tietoturvan perusopas. Oppaan keskeinen tarkoitus on auttaa kohderyhmää sekä tiedostamaan verkkohyökkäysten vaarallisuus että oppia yksinkertaiset menetelmät niiden ehkäisyyn. Opas ei ole kaikenkattava, mutta toimii hyvänä perustyökalupakkina, jonka avulla kohderyhmä voi rakentaa turvallisempia WWW-sovelluksia. Lisäksi oppaan tarkoitus on auttaa lukijaa ymmärtämään tietoturvan merkitys WWW-ohjelmoinnissa.