Verkkosovellusten tietoturvan auditointi: OWASP-lähtöisen haavoittuvuustestaustyökalun kehittäminen

Abstract

Opinnäytetyön tavoitteena oli kehittää käytännön työkalu, joka tunnistaa yleisimmät web-sovellusten tietoturvahaavoittuvuudet automaattisesti OWASP Top 10 -luokituksen mukaisesti. Työssä suunniteltiin ja toteutettiin Python-pohjainen OWASP Security Audit Toolkit, joka perustuu OWASP Application Security Verification Standard (ASVS) -kehykseen. Työkalu keskittyy kolmeen keskeiseen haavoittuvuuskategoriaan: pääsynhallinnan puutteet (A01), injektiot (A03) ja virheelliset konfiguraatiot (A05).

Työkalun arkkitehtuuri ja ajoprofiilit suunniteltiin siten, että ne voidaan integroida osaksi DevSecOps-ympäristöä. Skanneria testattiin OWASP Juice Shop -sovelluksella, ja sen tuloksia verrattiin OWASP ZAP -työkaluun tarkkuuden ja kattavuuden arvioimiseksi. Testien perusteella kehitetty työkalu tuotti vastaavia tuloksia kuin ZAP-baseline ja havaitsi lisäksi laajempia ongelmia A01- ja A03-kategorioissa.

Tuloksena syntyi helposti laajennettava ja kevyt tietoturvaskanneri, jota voidaan hyödyntää ohjelmistokehityksen tietoturvan parantamiseen ja automatisoituun testaukseen. Työkalu tarjoaa selkeän raportoinnin, tukee ASVS-viitekehystä ja on rakennettu siten, että sen moduuleja voidaan laajentaa kattamaan uusia OWASP-kategorioita tai muita testauskohteita. Lisäksi arkkitehtuuri mahdollis-taa sen liittämisen osaksi CI/CD-putkea tulevissa kehitysvaiheissa, mikä tukee tietoturvan jatkuvaa varmistamista ohjelmistokehityksen eri vaiheissa.

The aim of this thesis was to develop a practical toolkit capable of automatically identifying common web application vulnerabilities according to the OWASP Top 10 classification. The project produced a Python-based OWASP Security Audit Toolkit designed to support the OWASP Application Security Verification Standard (ASVS) framework. The toolkit focused on three key vulnerability categories: Broken Access Control (A01), Injection (A03), and Security Misconfiguration (A05).

The toolkit’s architecture and execution profiles were designed for integration into DevSecOps environments. It was tested using the OWASP Juice Shop application, and its results were compared with the OWASP ZAP baseline to assess accuracy and coverage. The developed scanner achieved comparable results and revealed broader detection capabilities in A01 and A03 categories.

The outcome was a lightweight, modular, and extendable security scanner that can enhance automated security testing within software development. Future development could include expanding vulnerability coverage, refining the reporting features, and integrating the toolkit into CI/CD pipelines for continuous security assurance.