Web-sovellusten tietoturva
Pekkonen, Jon (2022)
Pekkonen, Jon
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022060716365
https://urn.fi/URN:NBN:fi:amk-2022060716365
Tiivistelmä
Web-sovellusten tietoturva on jatkuvassa muutoksessa. Uusia haavoittuvuuksia löydetään jatkuvasti ja olemassa olevia paikataan. Silti yleisimpien tietoturvauhkien lista pysyy melko samana vuodesta toiseen. Iso kysymys onkin, paljonko tavanomainen sovelluskehittäjä pohtii tietoturvaa sen hetkisessä projektissaan? Ei kovin paljoa, jos uhat ja haavoittuvuudet koetaan abstrakteina tekijöinä, joihin ei itse voi juurikaan vaikuttaa. Siksi onkin tärkeää, että jokaisella sovelluskehittäjällä olisi edes yleiskuva yleisistä tietoturvauhista ja haavoittuvuuksista sekä tietotaidot näiden uhkien torjuntaan.
Opinnäytetyön toimeksiantajalla, Jyväskylän ammattikorkeakoulun tietojenkäsittelyn tutkinto-ohjelmalla, oli tarve web-sovellusten tietoturvaa käsittelevälle opintojaksolle. Opinnäytetyön tavoite oli tutkia yleisimpiä web-sovellusten tietoturvauhkia ja tämän pohjalta luoda sisältösuunnitelma toimeksiantajan tarvitsemalle opintojaksolle, joka tarjoaisi tietojenkäsittelyn opiskelijalla yleiskuvan erilaisiin sovellukseen kohdistuviin tietoturvauhkiin.
Työn rajauksessa ja käsiteltävien tietoturvauhkien valinnassa hyödynnettiin OWASP:n kymmenen ajankohtaisimman haavoittuvuus tyypin listaa. Jokaista käsiteltyä haavoittuvuus ja uhka kokonaisuutta tutkittiin tarkemmin hyödyntäen julkisia sovelluskehittäjä- ja tietoturvayhteisöjen julkaisemia materiaaleja. Käsiteltävistä tietoturvauhista tutkittiin niiden taustasyitä sekä keinoja niiden ehkäisyyn tai torjuntaan.
Tutkimusosan tulokset koottiin kokonaisuuksiksi, joissa tarkasteltiin yhtä haavoittuvuustyyppiä kerrallaan. Kokonaisuuksissa tarkasteltiin haavoittuvuuden taustasyitä sekä hyökkäyksiä, joille haavoittuvuus sovelluksen altistaa ja lopuksi keinoja korjata kyseinen haavoittuvuus. Koottujen tietopakettien pohjalta laadittiin toimeksiantajan opintojaksolle sisältösuunnitelma, jossa määriteltiin eri moduulien sisältö sekä esimerkkitehtäviä.
Opinnäytetyön toimeksiantajalla, Jyväskylän ammattikorkeakoulun tietojenkäsittelyn tutkinto-ohjelmalla, oli tarve web-sovellusten tietoturvaa käsittelevälle opintojaksolle. Opinnäytetyön tavoite oli tutkia yleisimpiä web-sovellusten tietoturvauhkia ja tämän pohjalta luoda sisältösuunnitelma toimeksiantajan tarvitsemalle opintojaksolle, joka tarjoaisi tietojenkäsittelyn opiskelijalla yleiskuvan erilaisiin sovellukseen kohdistuviin tietoturvauhkiin.
Työn rajauksessa ja käsiteltävien tietoturvauhkien valinnassa hyödynnettiin OWASP:n kymmenen ajankohtaisimman haavoittuvuus tyypin listaa. Jokaista käsiteltyä haavoittuvuus ja uhka kokonaisuutta tutkittiin tarkemmin hyödyntäen julkisia sovelluskehittäjä- ja tietoturvayhteisöjen julkaisemia materiaaleja. Käsiteltävistä tietoturvauhista tutkittiin niiden taustasyitä sekä keinoja niiden ehkäisyyn tai torjuntaan.
Tutkimusosan tulokset koottiin kokonaisuuksiksi, joissa tarkasteltiin yhtä haavoittuvuustyyppiä kerrallaan. Kokonaisuuksissa tarkasteltiin haavoittuvuuden taustasyitä sekä hyökkäyksiä, joille haavoittuvuus sovelluksen altistaa ja lopuksi keinoja korjata kyseinen haavoittuvuus. Koottujen tietopakettien pohjalta laadittiin toimeksiantajan opintojaksolle sisältösuunnitelma, jossa määriteltiin eri moduulien sisältö sekä esimerkkitehtäviä.