OWASP-tietoturvatestaus osana ASP.NET-sovelluskehitystä
Kyrönlahti, Joni (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023052915722
https://urn.fi/URN:NBN:fi:amk-2023052915722
Tiivistelmä
Opinnäytetyön toimeksiantaja toimi Jyväskylästä lähtöisin oleva web-pohjaisten sovelluksien kehitykseen erikoistunut yritys, joka oli huomannut laadunvarmistuksellisia puutteita omassa prosessissaan tietoturvan osalta. Tavoitteena oli tutkia, miten tietoturvatestaus voitaisiin integroida osaksi toimeksiantajan sovelluskehitysprosessia ja miten kannattavaa se olisi laadullisesta ja resurssillisista näkökulmista.
Työssä suunniteltiin ja toteutettiin tietoturvatestaus toimeksiantajan kehittämään ASP.NET-sovellukseen. Tietoperustana työssä käytettiin pääasiassa OWASP-säätiön tuottamaa materiaalia kuten OWASP TOP 10 -lista yleisimmistä tietoturvariskeistä web-sovelluksista.
Tietoturvatestaus toteutettiin käyttäen kolmea eri testausmenetelmää: riskien analysointi, manuaalinen koodikatselmointi ja sovelluksen skannaus. Testauksen päätteeksi siinä löydetyt havainnot raportoitiin ja löydetyille haavoittuvuuksille annettiin vakavuusarvio hieman kevennetyllä CVSS-laskusysteemillä.
Työkaluina testauksessa käytettiin OWASP-säätiön kehittämää ilmaistyökalua OWASP ZAP ja .NET sovelluksille luotua koodin analysointityökalua Security Code Scan. OWASP ZAP-työkalu mahdollisti sovelluksen penetraatiotestauksen automatisoinnin käyttäen sen Active Scan -ominaisuutta. Security Code Scan taas mahdollisti sovelluksen staattisen skannauksen, missä sovelluksen lähdekoodista etsittiin automaattisesti haavoittuvuuksia.
Lopputuloksena opinnäytetyöstä muodostui POC-toteutus tietoturvatestauksesta ASP.NET-sovelluksiin. Tutkimuskysymyksiin onnistuttiin vastaamaan osittain. Ongelmaksi muodostui tehdyn testauksen laadullinen arviointi, kun sovellukselle ei ollut tehty vastaavaa testausta, mitä vasten tuloksia olisi pystytty vertailemaan.
Työssä suunniteltiin ja toteutettiin tietoturvatestaus toimeksiantajan kehittämään ASP.NET-sovellukseen. Tietoperustana työssä käytettiin pääasiassa OWASP-säätiön tuottamaa materiaalia kuten OWASP TOP 10 -lista yleisimmistä tietoturvariskeistä web-sovelluksista.
Tietoturvatestaus toteutettiin käyttäen kolmea eri testausmenetelmää: riskien analysointi, manuaalinen koodikatselmointi ja sovelluksen skannaus. Testauksen päätteeksi siinä löydetyt havainnot raportoitiin ja löydetyille haavoittuvuuksille annettiin vakavuusarvio hieman kevennetyllä CVSS-laskusysteemillä.
Työkaluina testauksessa käytettiin OWASP-säätiön kehittämää ilmaistyökalua OWASP ZAP ja .NET sovelluksille luotua koodin analysointityökalua Security Code Scan. OWASP ZAP-työkalu mahdollisti sovelluksen penetraatiotestauksen automatisoinnin käyttäen sen Active Scan -ominaisuutta. Security Code Scan taas mahdollisti sovelluksen staattisen skannauksen, missä sovelluksen lähdekoodista etsittiin automaattisesti haavoittuvuuksia.
Lopputuloksena opinnäytetyöstä muodostui POC-toteutus tietoturvatestauksesta ASP.NET-sovelluksiin. Tutkimuskysymyksiin onnistuttiin vastaamaan osittain. Ongelmaksi muodostui tehdyn testauksen laadullinen arviointi, kun sovellukselle ei ollut tehty vastaavaa testausta, mitä vasten tuloksia olisi pystytty vertailemaan.