Web-sovelluksen penetraatiotestaus ja koventaminen
Välitalo, Henri (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024051311165
https://urn.fi/URN:NBN:fi:amk-2024051311165
Tiivistelmä
Opinnäytetyössä keskitytään toimeksiantajan käytössä olevan web-sovelluksen tietoturvaan, hyödyntäen penetraatiotestaustyökaluja ja -skannereita. Testattavalla verkkosivulla on tuhansia aktiivisia käyttäjiä Suomessa, sekä on merkittävä alusta yhteisölle.
Tietoperustana työssä käytettiin laajalti penetraatiotestaukseen ja tietoturvaan johdattelevaa materiaalia, sekä haavoittuvuuksien ja heikkouksien kategorisointia. OWASP-säätiön luokittelemat 10 yleisintä web-sovellushaavoittuvuutta esitellään esimerkein penetraatiotestaajan ja koventamisen kannalta.
Tavoitteena oli tutkia sovelluksen tietoturvan taso, sekä parantaa sitä koventamalla eri keinoin, verraten penetraatiotestauksessa esiin tulleita heikkouksia tai haavoittuvuuksia.
Penetraatiotestaus toteutettiin hyödyntämällä automaattisia skannereita, kuten Nmap ja OWASP Zed Attack Proxy, sekä manuaalista todentamista. Penetraatiotestauksessa käytettiin työkaluja kuten SQLmap ja PHPGGC.
Koventamisessa päivitettiin web-sovelluksen ohjelmistoversio ja palvelimen käyttöjärjestelmä, arvioitiin palveluiden käyttö ja tarve, sekä tutkittiin tietoturvan lisäämiseen vaadittavia toimenpiteitä ja jatko-ohjeita.
Lopputuloksena saatiin toimeksiantajan web-sovelluksen tietoturvasta selkeä käsitys, sekä parannettua sen tietoturvan tasoa koventamalla sitä.
Tietoperustana työssä käytettiin laajalti penetraatiotestaukseen ja tietoturvaan johdattelevaa materiaalia, sekä haavoittuvuuksien ja heikkouksien kategorisointia. OWASP-säätiön luokittelemat 10 yleisintä web-sovellushaavoittuvuutta esitellään esimerkein penetraatiotestaajan ja koventamisen kannalta.
Tavoitteena oli tutkia sovelluksen tietoturvan taso, sekä parantaa sitä koventamalla eri keinoin, verraten penetraatiotestauksessa esiin tulleita heikkouksia tai haavoittuvuuksia.
Penetraatiotestaus toteutettiin hyödyntämällä automaattisia skannereita, kuten Nmap ja OWASP Zed Attack Proxy, sekä manuaalista todentamista. Penetraatiotestauksessa käytettiin työkaluja kuten SQLmap ja PHPGGC.
Koventamisessa päivitettiin web-sovelluksen ohjelmistoversio ja palvelimen käyttöjärjestelmä, arvioitiin palveluiden käyttö ja tarve, sekä tutkittiin tietoturvan lisäämiseen vaadittavia toimenpiteitä ja jatko-ohjeita.
Lopputuloksena saatiin toimeksiantajan web-sovelluksen tietoturvasta selkeä käsitys, sekä parannettua sen tietoturvan tasoa koventamalla sitä.