Design and Implementation of the Automated Hacker for Cybersecurity Courses
Tiitta, Jesse (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023121938424
https://urn.fi/URN:NBN:fi:amk-2023121938424
Tiivistelmä
Tämä opinnäytetyö käsittelee kyberturvallisuuden kannalta haavoittuneen verkkopalvelimen ja siihen liitetyn relaatiotietokannan rakentamista, sekä automatisoidun Python koodin luomista, joka hyväksi käyttää kyseisiä haavoittuvuuksia. Työ toteutettiin Kaakkois-Suomen ammattikorkeakoululle Kotkan kampuksen CyberLab oppimisympäristöön.
Verkkopalvelimien tietoturvauhkien tunnistaminen on tärkeää, mutta työn pääasiallisena tarkoituksena oli rakentaa automaattinen harjoitusvastustaja kyberturvallisuuden opintojaksoille, joka ei olisi liian ilmiselvä ja staattinen. Verkkopalvelimien ylläpitämät verkkosovellukset valittiin kohteeksi niiden yleisyyden ja haavoittuvuuksien yksinkertaisuuden vuoksi, mahdollistaen yksinkertaisen, mutta helposti jatkettavan koodin rakentamisen.
Opinnäytetyössä hyödynnetään etnografisen tutkimuksenstrategiaa ymmärtämään haitallisen käyttäjän toimintaa, ja tutkimuspäiväkirjan avulla voitiin tallentaa kriittisiä havaintoja ja verrata niitä aikaisempiin kurssikokemuksiin ja tutkimuksiin. Näiden tietojen avulla voitiin kehittää harjoitusvastustaja, joka tarjoaa opiskelijoille realistisen ja monipuolisen oppimiskokemuksen.
Opinnäytetyön tulokset voivat hyödyntää kyberturvallisuuden opetusta tarjoamalla opettajille ja opiskelijoille käytännönläheisen työkalun, joka edistää aktiivista oppimista ja valmistaa opiskelijoita paremmin tuleviin haasteisiin kyberturvallisuusalalla. This thesis focuses on building a vulnerable web server and an associated relational database from the cybersecurity perspective, as well as creating automated Python code that exploits these vulnerabilities. The work was made for the South-Eastern Finland University of Applied Sciences Kotka campus CyberLab Learning Environment.
While identifying security threats to web servers is important, the primary purpose of this work was to construct an automated practice opponent for cybersecurity courses that would not be too obvious and static. Web applications maintained by web servers were chosen as the target due to their prevalence and simplicity of vulnerabilities, enabling the construction of straightforward but easily extendable code.
The thesis utilizes an ethnographic research strategy to understand the actions of a malicious user and uses the field diary method to record critical observations to compare against previous course experiences and studies. With this information, a practice opponent was developed to provide students with a realistic and diverse learning experience.
The results of the thesis can benefit cybersecurity education by offering teachers and students a practical tool that promotes active learning and prepares students better for future challenges in the field of cybersecurity.
Verkkopalvelimien tietoturvauhkien tunnistaminen on tärkeää, mutta työn pääasiallisena tarkoituksena oli rakentaa automaattinen harjoitusvastustaja kyberturvallisuuden opintojaksoille, joka ei olisi liian ilmiselvä ja staattinen. Verkkopalvelimien ylläpitämät verkkosovellukset valittiin kohteeksi niiden yleisyyden ja haavoittuvuuksien yksinkertaisuuden vuoksi, mahdollistaen yksinkertaisen, mutta helposti jatkettavan koodin rakentamisen.
Opinnäytetyössä hyödynnetään etnografisen tutkimuksenstrategiaa ymmärtämään haitallisen käyttäjän toimintaa, ja tutkimuspäiväkirjan avulla voitiin tallentaa kriittisiä havaintoja ja verrata niitä aikaisempiin kurssikokemuksiin ja tutkimuksiin. Näiden tietojen avulla voitiin kehittää harjoitusvastustaja, joka tarjoaa opiskelijoille realistisen ja monipuolisen oppimiskokemuksen.
Opinnäytetyön tulokset voivat hyödyntää kyberturvallisuuden opetusta tarjoamalla opettajille ja opiskelijoille käytännönläheisen työkalun, joka edistää aktiivista oppimista ja valmistaa opiskelijoita paremmin tuleviin haasteisiin kyberturvallisuusalalla.
While identifying security threats to web servers is important, the primary purpose of this work was to construct an automated practice opponent for cybersecurity courses that would not be too obvious and static. Web applications maintained by web servers were chosen as the target due to their prevalence and simplicity of vulnerabilities, enabling the construction of straightforward but easily extendable code.
The thesis utilizes an ethnographic research strategy to understand the actions of a malicious user and uses the field diary method to record critical observations to compare against previous course experiences and studies. With this information, a practice opponent was developed to provide students with a realistic and diverse learning experience.
The results of the thesis can benefit cybersecurity education by offering teachers and students a practical tool that promotes active learning and prepares students better for future challenges in the field of cybersecurity.