Tietoturvatestaus : verkkosovelluksen penetraatiotestaus
Mäkirinta, Joona (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202405028691
https://urn.fi/URN:NBN:fi:amk-202405028691
Tiivistelmä
Opinnäytetyössä suoritetiin verkkosovelluksen penetraatiotestaus, joka toteutettiin toimeksiantona IoT-verkkopalveluja tarjoavalle yritykselle. Tavoitteena oli suorittaa toimeksiantajan tarjoamalle verkkosovellukselle penetraatiotestaus ja selvittää löytyykö verkkosovelluksesta haavoittuvuuksia. Tämän lisäksi toimeksiantajalle tehtiin verkkosovelluksen testaussuunnitelma.
Opinnäytetyön testausvaiheessa penetraatiotestaus jaettiin tiedusteluun, skannaukseen, hyökkäykseen ja raportointiin. Tiedustelu ja skannaus on toteutettu testauksen alussa, jossa avainasemassa olivat työkalut Nmap, OWASP ZAP, Sqlmap sekä Nessus Essentials. Tämän jälkeen verkkosovelluksesta löytyneiden tietojen perusteella pyrittiin hyväksikäyttämään löytyneitä haavoittuvuuksia sekä lisäksi suoritettiin automatisoituja ja manuaalisia hyökkäyksiä, kuten XSS-hyökkäyksiä sekä rikkinäiseen valtuuksienhallintaan liittyviä hyökkäyksiä.
Opinnäytetyössä suoritetun penetraatiotestauksen perusteella toimeksiantajalle tehtiin raportti tuloksista sekä luotiin räätälöity testaussuunnitelma toimeksiantajan verkkosovellukselle tehdyn testauksen pohjalta. Testauskohteesta löytyi muutamia lieviä haavoittuvuuksia, kuten vanhentuneita versioita palveluista, mutta ei mitään kriittistä. Rajallisen ajan vuoksi testauksen kattavuus jäi suppeaksi, mikä vaikutti saatuihin tuloksiin. The thesis conducted penetration testing on a web application, which was carried out as a commission for a company providing IoT web services. The goal was to perform penetration testing on the web application provided by the client and to determine if there are any vulnerabilities in the web application. As part of the thesis, a fundamental testing plan for the web application was created for the client.
During the testing phase of the thesis, penetration testing was divided into reconnaissance, scanning, exploitation, and reporting. Reconnaissance and scanning were carried out at the beginning of the testing, with key tools such as Nmap, OWASP ZAP, Sqlmap, and Nessus Essentials. Following this, attempts were made to exploit the vulnerabilities found in the web application based on the information obtained, and automated and manual attacks were conducted, such as XSS attacks and attacks related to broken access control.
Based on the penetration testing conducted in the thesis, a report on the results was provided to the client, and a tailored testing plan was created for their web application based on the testing conducted. The testing revealed some minor vulnerabilities in the target, such as outdated versions of services, but nothing critical. Due to limited time, the coverage of the testing was narrow, which affected the results obtained.
Opinnäytetyön testausvaiheessa penetraatiotestaus jaettiin tiedusteluun, skannaukseen, hyökkäykseen ja raportointiin. Tiedustelu ja skannaus on toteutettu testauksen alussa, jossa avainasemassa olivat työkalut Nmap, OWASP ZAP, Sqlmap sekä Nessus Essentials. Tämän jälkeen verkkosovelluksesta löytyneiden tietojen perusteella pyrittiin hyväksikäyttämään löytyneitä haavoittuvuuksia sekä lisäksi suoritettiin automatisoituja ja manuaalisia hyökkäyksiä, kuten XSS-hyökkäyksiä sekä rikkinäiseen valtuuksienhallintaan liittyviä hyökkäyksiä.
Opinnäytetyössä suoritetun penetraatiotestauksen perusteella toimeksiantajalle tehtiin raportti tuloksista sekä luotiin räätälöity testaussuunnitelma toimeksiantajan verkkosovellukselle tehdyn testauksen pohjalta. Testauskohteesta löytyi muutamia lieviä haavoittuvuuksia, kuten vanhentuneita versioita palveluista, mutta ei mitään kriittistä. Rajallisen ajan vuoksi testauksen kattavuus jäi suppeaksi, mikä vaikutti saatuihin tuloksiin.
During the testing phase of the thesis, penetration testing was divided into reconnaissance, scanning, exploitation, and reporting. Reconnaissance and scanning were carried out at the beginning of the testing, with key tools such as Nmap, OWASP ZAP, Sqlmap, and Nessus Essentials. Following this, attempts were made to exploit the vulnerabilities found in the web application based on the information obtained, and automated and manual attacks were conducted, such as XSS attacks and attacks related to broken access control.
Based on the penetration testing conducted in the thesis, a report on the results was provided to the client, and a tailored testing plan was created for their web application based on the testing conducted. The testing revealed some minor vulnerabilities in the target, such as outdated versions of services, but nothing critical. Due to limited time, the coverage of the testing was narrow, which affected the results obtained.