Web-sovelluksen penetraatiotestaus
Korhonen, Henna (2021)
Korhonen, Henna
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021121526111
https://urn.fi/URN:NBN:fi:amk-2021121526111
Tiivistelmä
Erilaiset web-sovellukset ovat arkipäiväistyneet ja 2020-luvulla melkein jokainen yritys tai julkinen toimija hyödyntää web-sovelluksia palveluntarjonnassaan. Tämän myötä myös erilaiset tietoturvauhat ovat kasvaneet samassa suhteessa uusien web-teknologioiden rinnalla ja tietoturvatestaamisesta on tullut entistä tärkeämpi osa tuotekehitysprosessia. Yksi tehokas tapa web-sovelluksien tietoturvahaavoittuvuuksien löytämiseksi on penetraatiotestaus.
Tässä opinnäytetyössä tutustutaan penetraatiotestaukseen ja sen vaiheisiin sekä suoritetaan penetraatiotestaus toimeksiantajan määräämälle kohteelle. Penetraatiotestauksessa jäljitellään tapoja, joita paha-aikeiset hyökkääjät käyttävät murtautuessaan web-sovelluksiin. Penetraatiotestauksen tarkoituksena on löytää ja tukkia nämä tietoturva-aukot, ennen kuin hyökkääjät ennättävät ne löytää. Penetraatiotestaus toteutettiin käyttämällä Burp Suite Professionalia ja sen tarjoamia lisäosia. Testaustuloksista raportoitiin toimeksiantajana toimineelle yritykselle kattavalla raportilla, jossa ilmenivät löydetyt haavoittuvuudet sekä niiden korjausehdotukset.
Työn tietoperustassa tarkastellaan laajemmin myös tietoturvallisuutta, tietoturvatestausta yleisellä tasolla sekä perehdytään OWASP Top 10 -raporttiin ja erilaisiin penetraatiotestauksissa käytettäviin standardeihin, joihin penetraatiotestaus perustui.
Työn lopussa pohdittiin, olisiko penetraatiotestaus mahdollista automatisoida toimeksiantajan tarpeisiin. Tämän työn toimeksiantajana toimii suomalainen ohjelmistoalan yritys.
Tässä opinnäytetyössä tutustutaan penetraatiotestaukseen ja sen vaiheisiin sekä suoritetaan penetraatiotestaus toimeksiantajan määräämälle kohteelle. Penetraatiotestauksessa jäljitellään tapoja, joita paha-aikeiset hyökkääjät käyttävät murtautuessaan web-sovelluksiin. Penetraatiotestauksen tarkoituksena on löytää ja tukkia nämä tietoturva-aukot, ennen kuin hyökkääjät ennättävät ne löytää. Penetraatiotestaus toteutettiin käyttämällä Burp Suite Professionalia ja sen tarjoamia lisäosia. Testaustuloksista raportoitiin toimeksiantajana toimineelle yritykselle kattavalla raportilla, jossa ilmenivät löydetyt haavoittuvuudet sekä niiden korjausehdotukset.
Työn tietoperustassa tarkastellaan laajemmin myös tietoturvallisuutta, tietoturvatestausta yleisellä tasolla sekä perehdytään OWASP Top 10 -raporttiin ja erilaisiin penetraatiotestauksissa käytettäviin standardeihin, joihin penetraatiotestaus perustui.
Työn lopussa pohdittiin, olisiko penetraatiotestaus mahdollista automatisoida toimeksiantajan tarpeisiin. Tämän työn toimeksiantajana toimii suomalainen ohjelmistoalan yritys.