The web-based vulnerabilities, stakeholders and avoidance
Siltainsuu, Janne (2018)
Siltainsuu, Janne
Laurea-ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018091715190
https://urn.fi/URN:NBN:fi:amk-2018091715190
Tiivistelmä
Tämä opinnäytetyö keskittyy kyberturvallisuuteen ja web-pohjaisiin haavoittuvuuksiin sekä sidosryhmiin, jotka ovat osa näitä haavoittuvuuksia olemalla teknisiä edellytyksiä, hyökkääjiä tai hyökkäyksen uhreja. Tämän opinnäytetyön fokuksena on antaa lukijalle kuva ensin kyberavaruudesta ja sen sidosryhmistä ja sen jälkeen kolmesta yleisestä haavoittuvuudesta, jotka ovat yleisiä verkkopalveluissa, joita käytämme joka päivä. Näiden haavoittuvuuksien hyödyntäminen on yleensä aina rikos ja nämä rikokset jaetaan kahteen kategoriaan. Kyberavusteisiin ja kyberriippuvaisiin rikoksiin. Kyberavusteiset rikokset ovat rikoksia, jotka voidaan toteuttaa ilman tietokoneitakin, mutta ne mahdollistavat kommunikoinnin. Tällaisia rikoksia ovat esimerkiksi käytetyn tavaran verkkomarkkinapaikalla tehty petos. Kyberriippuvainen rikos on rikos, jonka toteuttaminen ei ole mahdollista ilman tietokoneita. Tällaisia rikoksia ovat esimerkiksi palvelunestot. Sidosryhmät, jotka ovat osa verkkopalvelua ovat verkossa toimivat tekniset laitteet, joissa on haavoittuvuuksia, rikolliset, jotka hyödyntävät näitä haavoittuvuuksia ja uhrit, jotka kärsivät haittaa rikoksien vuoksi. Verkkopalvelut toimivat kommunikoimalla hypertext tranfer protokollalla käyttäjän selaimen ja palvelimen välillä ja se on yksi tärkeimmistä tavoista ymmärtää, miten tietoverkko toimii. Rikolliset jaetaan kyvykkyyksien ja motiivien perusteella kuuteen eri kategoriaan, jotka ovat, tietämättömät, välinpitämättömät, hakkerit, ammattirikolliset, haktivistit sekä valtiot. Rikoksien uhrit jaetaan neljään eri kategoriaan sen perusteella, miten he valikoituvat rikoksen uhriksi. Nämä neljä kategoriaa ovat, herkkäuskoiset, ahneet, kokemattomat ja epäonniset. Tämä opinnäyte työ keskittyy kolmeen eri haavoittuvuuteen, jotka ovat erilaiset injektio haavoittuvuudet, rikkinäiset tunnistus järjestelmä haavoittuvuudet sekä cross-site-scripting. Injektiohyökkäyksillä tarkoitetaan hyökkäyksiä, jossa hyökkääjä onnistuu syöttämään käyttöliittymän läpi ohjelmakoodia tai tietokanta kyselyitä taustalla toimivalle palvelimelle, joka suorittaa nämä käskyt. Rikkinäiset tunnistautumisjärjestelmät, tarkoittavat haavoittuvuuksia, joiden avulla on mahdollista tehdä muutoksia muiden käyttäjien tileihin. Cross-site-scripting tarkoittaa mahdollisuutta syöttää sivustolle sisältö, joka suoritetaan uhrin selaimessa. Käytännössä kaikki haavoittuvuudet johtuvat huolimattomasta ohjelmoinnista ja syötteiden tarkistamatta jättämisestä.