Pääsynhallinnan tietoturvatestaus websovelluksissa
Junttila, Henrik (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202604085823
https://urn.fi/URN:NBN:fi:amk-202604085823
Tiivistelmä
Lähes kaikki organisaatiot ja heidän datansa nojaavat nykypäivänä vahvasti verkkosovelluksiin, mikä on tehnyt sovellusten tietoturvasta elintärkeän yritysten liiketoimintojen jatkuvuuden kannalta. Yksi yleisimmistä ja vaikutuksiltaan vakavimmista tietoturvauhista on puutteellinen pääsynhallinta. Tämä tarkoittaa sitä, että
käyttäjällä on pääsy tietoihin tai toiminnallisuuksiin, jotka ei hänelle kuuluisi. Tämän opinnäytetyön tavoitteena oli perehtyä verkkosovellusten pääsynhallinnan
haavoittuvuuksia ja arvioida testattavan järjestelmän tietoturvan tasoa hyödyntäen OWASP-viitekehystä.
Opinnäytetyön tietoperusta käsittelee pääsynhallinnan tietoturvaan liittyviä olennaisia käsitteitä sekä yleisimpiä haavoittuvuuksia. Toiminnallisessa osuudessa
suoritettiin tietoturvatestaus kohdeyritysen kehittämälle deliveryPlanner-sovellukselle. Testaus toteutettiin paikallisessa testiympäristössä hyödyntäen musta- ja
harmaalaatikkotestauksen menetelmiä. Keskeisenä työkaluna testauksessa käytettiin Burp Suiten Community versiota.
Testauksen tulokset osoittivat, että järjestelmän pääsynhallinta on toteutettu vahvasti, eikä kriittisiä haavoittuvuuksia havaittu. Merkittävimmäksi kehityskohteeksi
tunnistettiin pääsytokenien viiden vuorokauden voimassaoloaika sekä kaksivaiheisen tunnistautumisen puuttuminen. Työn lopputuloksena yritykselle tuotettiin
suositukset istunnonhallinnan tiukentamiseksi tokenin voimassaoloajan, sekä
kaksivaiheisen todentamisen käyttöönoton osalta.
käyttäjällä on pääsy tietoihin tai toiminnallisuuksiin, jotka ei hänelle kuuluisi. Tämän opinnäytetyön tavoitteena oli perehtyä verkkosovellusten pääsynhallinnan
haavoittuvuuksia ja arvioida testattavan järjestelmän tietoturvan tasoa hyödyntäen OWASP-viitekehystä.
Opinnäytetyön tietoperusta käsittelee pääsynhallinnan tietoturvaan liittyviä olennaisia käsitteitä sekä yleisimpiä haavoittuvuuksia. Toiminnallisessa osuudessa
suoritettiin tietoturvatestaus kohdeyritysen kehittämälle deliveryPlanner-sovellukselle. Testaus toteutettiin paikallisessa testiympäristössä hyödyntäen musta- ja
harmaalaatikkotestauksen menetelmiä. Keskeisenä työkaluna testauksessa käytettiin Burp Suiten Community versiota.
Testauksen tulokset osoittivat, että järjestelmän pääsynhallinta on toteutettu vahvasti, eikä kriittisiä haavoittuvuuksia havaittu. Merkittävimmäksi kehityskohteeksi
tunnistettiin pääsytokenien viiden vuorokauden voimassaoloaika sekä kaksivaiheisen tunnistautumisen puuttuminen. Työn lopputuloksena yritykselle tuotettiin
suositukset istunnonhallinnan tiukentamiseksi tokenin voimassaoloajan, sekä
kaksivaiheisen todentamisen käyttöönoton osalta.