Web-sovelluksen penetraatiotestaus
Jumpponen, Tuomas (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023082725002
https://urn.fi/URN:NBN:fi:amk-2023082725002
Tiivistelmä
Tässä opinnäytetyössä avataan teoriataustaa penetraatiotestauksesta ja suoritettiin penetraatiotestaus toimeksiantona saatuun Oikeusrekisterikeskuksen web-järjestelmään. Kohteena olevaan järjestelmään tehtiin penetraatiotestaus vuonna 2021 kolmannen osapuolen puolesta, jonka havaintojen pohjalta suoritettiin opinnäytetyön testaus tutkien aikaisemmin löytyneiden havaintojen paikkausta. Testauksessa noudatettiin OWASP TOP 10 -kriteeristön suosituksia ja muita aiheeseen liittyviä ohjeistuksia taustatietona, sekä käytettiin toimeksiantajalta saatua välineistöä. Opinnäytetyön toimeksiantajana toimi Oikeusrekisterikeskus, joka on Oikeusministeriön alaisuudessa toimiva Suomen valtion virasto.
Opinnäytetyön tietopohja koostuu penetraatiotestauksen teoriaan ja siihen vaikuttavista arviointikriteeristöistä eri auditointitilanteissa. Teoriaosuudessa käsitellään mm. penetraatiotestauksen menetelmiä, eri tyyppejä sekä testikohteita ja yleisiä arviointikriteeristöjä. Opinnäytetyö on tyypiltään toiminnallinen.
Penetraatiotestauksessa tehtiin toimeksiantajalle arvokkaita havaintoja järjestelmän tietoturvan tasosta. Löydetyistä havainnoista koostettiin raportti, jossa määriteltiin havaintojen vakavuutta ja korjaustoimenpiteitä. Raportti käytiin lävitse yhdessä toimeksiantajan omien tietoturva-asiantuntijoiden kanssa penetraatiotestauksen jälkeen.
Opinnäytetyön tietopohja koostuu penetraatiotestauksen teoriaan ja siihen vaikuttavista arviointikriteeristöistä eri auditointitilanteissa. Teoriaosuudessa käsitellään mm. penetraatiotestauksen menetelmiä, eri tyyppejä sekä testikohteita ja yleisiä arviointikriteeristöjä. Opinnäytetyö on tyypiltään toiminnallinen.
Penetraatiotestauksessa tehtiin toimeksiantajalle arvokkaita havaintoja järjestelmän tietoturvan tasosta. Löydetyistä havainnoista koostettiin raportti, jossa määriteltiin havaintojen vakavuutta ja korjaustoimenpiteitä. Raportti käytiin lävitse yhdessä toimeksiantajan omien tietoturva-asiantuntijoiden kanssa penetraatiotestauksen jälkeen.