PK-yrityksen web-sivuston haavoittuvuudet ja niiden selvittäminen
Lintula, Tuomas (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023060217443
https://urn.fi/URN:NBN:fi:amk-2023060217443
Tiivistelmä
Web-sivustojen tietoturva on koetuksella päivittäin. Hakkerit ja muut pahantekijät yrittävät jatkuvasti löytää haavoittuvuuksia ja tietoturva-aukkoja web-sivustoilta. Kilpailu palveluiden kehittäjien ja hakkereiden välillä on jatkuvaa. Samanaikaisesti, kun palveluiden kehittäjät ja ylläpitäjät yrittävät tunnistaa ja paikata haavoittuvuuksia, koittavat hakkerit hyödyntää niitä ennen niiden korjaamista. Tietoturvasta huolehtiminen on halvempaa ennen haavoittuvuuden löytymistä, kuin sen jälkeen.
Tutkimus suoritettiin keväällä 2023. Sen tavoitteena on tuottaa PK-yrityksille tietoa yleisimmistä web-sivustoja koskevista haavoittuvuuksista ja siitä, kuinka niitä on mahdollista tunnistaa. Tieto auttaa PK-yrityksiä ymmärtämään tietoturvan tärkeyden jo web-sivustoja suunniteltaessa. Työn ulkopuolelle rajattiin tietoturvastrategia ja turvallisuusjohtaminen sekä sivuston käytettävyys ja saavutettavuus.
Tutkimuksen teoreettinen osuus muodostui web-sivuston teknisestä toteutuksesta, yleisimmistä haavoittuvuuksista, tietoturvallisuudesta sekä siitä, kuinka web-sivusto testataan haavoittuvuuksien varalta. Empiirisessä osiossa yhden PK-yrityksen web-sivustolle suoritettiin tietoturvatarkastus käyttäen apuna OWASP Application Security Verification Standard-testimenetelmää. Tietoturvatarkastuksen tulosten dokumentoinnin ja analysoinnin jälkeen testimenetelmän soveltuvuutta arvioitiin käytettävyyden ja sen tuottaman tiedon pohjalta.
Työn tuloksena syntyi esimerkki siitä, millaisia haavoittuvuuksia yhdeltä web-sivustolta löytyi OWASP ASVS-testimenetelmää käyttäen ja kuinka käyttökelpoinen testimenetelmä on web-sivuston testaamisessa. OWASP ASVS-testimenetelmällä saadut tulokset eivät poikenneet yleisimmistä web-sivustolta löytyvistä haavoittuvuuksista. Testimenetelmä soveltuu web-sivuston auditoinnin analyysikehykseksi, mutta sen käyttö ja tulosten tulkinta vaatii ennakkotietoa web-sivustoista ja niiden testaamisesta.
Tutkimus suoritettiin keväällä 2023. Sen tavoitteena on tuottaa PK-yrityksille tietoa yleisimmistä web-sivustoja koskevista haavoittuvuuksista ja siitä, kuinka niitä on mahdollista tunnistaa. Tieto auttaa PK-yrityksiä ymmärtämään tietoturvan tärkeyden jo web-sivustoja suunniteltaessa. Työn ulkopuolelle rajattiin tietoturvastrategia ja turvallisuusjohtaminen sekä sivuston käytettävyys ja saavutettavuus.
Tutkimuksen teoreettinen osuus muodostui web-sivuston teknisestä toteutuksesta, yleisimmistä haavoittuvuuksista, tietoturvallisuudesta sekä siitä, kuinka web-sivusto testataan haavoittuvuuksien varalta. Empiirisessä osiossa yhden PK-yrityksen web-sivustolle suoritettiin tietoturvatarkastus käyttäen apuna OWASP Application Security Verification Standard-testimenetelmää. Tietoturvatarkastuksen tulosten dokumentoinnin ja analysoinnin jälkeen testimenetelmän soveltuvuutta arvioitiin käytettävyyden ja sen tuottaman tiedon pohjalta.
Työn tuloksena syntyi esimerkki siitä, millaisia haavoittuvuuksia yhdeltä web-sivustolta löytyi OWASP ASVS-testimenetelmää käyttäen ja kuinka käyttökelpoinen testimenetelmä on web-sivuston testaamisessa. OWASP ASVS-testimenetelmällä saadut tulokset eivät poikenneet yleisimmistä web-sivustolta löytyvistä haavoittuvuuksista. Testimenetelmä soveltuu web-sivuston auditoinnin analyysikehykseksi, mutta sen käyttö ja tulosten tulkinta vaatii ennakkotietoa web-sivustoista ja niiden testaamisesta.