Web-sovellusten tietoturva – OWASP Top 10 -uhkakuvat ja haavoittuvuuksien testaaminen
Akiola, Roni (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024050810230
https://urn.fi/URN:NBN:fi:amk-2024050810230
Tiivistelmä
Insinöörityössä perehdyttiin web-sovellusten tietoturvaan havainnoimalla tunnettuja riskitekijöitä, niiden aiheuttajia, vaikutuksia ja torjuntatoimenpiteitä. Työn viitekehyksenä toimi Open Worldwide Application Security Project -säätiön laatima OWASP Top 10 -lista.
Tavoitteena työlle oli koostaa kattava dokumentaatio web-sovellusten tietoturvauhkien korkean riskin kategorioista ja havainnollistaa näiden vahingollisia vaikutuksia web-sovellukseen ja sen käyttäjiin kohdentamalla haavoittuvuuksiin hyökkäyksiä ja testejä.
Insinöörityö toteutettiin kokoamalla tietoturva-aiheista aineistoa yhtenäiseksi kokonaisuudeksi sekä pystyttämällä virtuaalitietokoneelle testausympäristö, jossa tietoturvahaavoittuvuuksien testaaminen voitiin toteuttaa turvallisesti. Virtuaalitietokoneen käyttöjärjestelmäksi valittiin Kali Linux ja testattavaksi kohteeksi OWASP Juice Shop - alusta, minkä lisäksi avoimen lähdekoodin työkaluja hyödynnettiin testauksen aikana. Työn alussa laadittiin ohjeet testausympäristön alustamisesta, minkä jälkeen hyökkäyskohteeseen suoritettiin tiedustelu- ja kartoitustoimenpiteitä. Edeltävän vaiheen pohjalta löytyneisiin potentiaalisiin haavoittuvuuksiin tutustuttiin tarkemmin tukeutuen kerättyihin tietoihin, ja lopuksi suoritettiin hyökkäysvaihe järjestelmällisesti edeten.
Tuloksena muodostui laadullisten menetelmien kautta koostettu dokumentaatio, joka kokonaisuutena ilmentää aiheen ajankohtaisuutta ja tärkeyttä web-sovelluskehityksessä. Tätä työtä voidaan käyttää tutkittujen tietoturvariskien alkeiden oppimiseen, perehdytykseen ja käytännön toteutukseen.
Tavoitteena työlle oli koostaa kattava dokumentaatio web-sovellusten tietoturvauhkien korkean riskin kategorioista ja havainnollistaa näiden vahingollisia vaikutuksia web-sovellukseen ja sen käyttäjiin kohdentamalla haavoittuvuuksiin hyökkäyksiä ja testejä.
Insinöörityö toteutettiin kokoamalla tietoturva-aiheista aineistoa yhtenäiseksi kokonaisuudeksi sekä pystyttämällä virtuaalitietokoneelle testausympäristö, jossa tietoturvahaavoittuvuuksien testaaminen voitiin toteuttaa turvallisesti. Virtuaalitietokoneen käyttöjärjestelmäksi valittiin Kali Linux ja testattavaksi kohteeksi OWASP Juice Shop - alusta, minkä lisäksi avoimen lähdekoodin työkaluja hyödynnettiin testauksen aikana. Työn alussa laadittiin ohjeet testausympäristön alustamisesta, minkä jälkeen hyökkäyskohteeseen suoritettiin tiedustelu- ja kartoitustoimenpiteitä. Edeltävän vaiheen pohjalta löytyneisiin potentiaalisiin haavoittuvuuksiin tutustuttiin tarkemmin tukeutuen kerättyihin tietoihin, ja lopuksi suoritettiin hyökkäysvaihe järjestelmällisesti edeten.
Tuloksena muodostui laadullisten menetelmien kautta koostettu dokumentaatio, joka kokonaisuutena ilmentää aiheen ajankohtaisuutta ja tärkeyttä web-sovelluskehityksessä. Tätä työtä voidaan käyttää tutkittujen tietoturvariskien alkeiden oppimiseen, perehdytykseen ja käytännön toteutukseen.