Web-sovelluksen haavoittuvuuksien löytäminen DAST-järjestelmällä
Kalliosaari, Henri (2013)
Kalliosaari, Henri
Metropolia Ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201304295490
https://urn.fi/URN:NBN:fi:amk-201304295490
Tiivistelmä
Tämä opinnäytetyö tehtiin Cygate Oy:lle. Työssä tutkittiin web-sovelluksen tietoturvaa ja web-sovelluksesta etsittiin mahdollisia haavoittuvuuksia käyttäen DAST-järjestelmää. DAST tarkoittaa dynaamista sovelluksen tietoturvan testausta, ja sen tarkoituksena on emuloida sille annettujen oikeuksien avulla esimerkiksi sovelluksen normaalia käyttäjää ja tällä tavalla etsiä haavoittuvuuksia ja mahdollisia hyökkäyspisteitä annetusta rajapinnasta.
Työssä keskityttiin tutkimaan web-sovelluksen haavoittuvuuksia ja sitä, miten niiden estäminen on mahdollista hyödyntäen DAST-järjestelmän antamia tuloksia. Työssä testattiin myös IPS:n eli Intrusion Prevention Systemin kykyä estää löydettyjen haavoittuvuuksien hyväksikäyttö- ja hyökkäysyritysten huomaaminen. Työ suoritettiin virtuaaliympäristössä.
Teoriaosuudessa käytiin läpi HTTP/HTTPS-protokollia, asiakas- ja palvelinpuolen ohjelmointia ja perehdyttiin OWASP 2010 –julkaisuun, jossa mainitaan 10 yleisintä tietoturvauhkaa web-sovelluksia vastaan. Teoriaosuudessa käytiin myös läpi tietoturvalaitteistoa ja niiden toimintaa. Toteutusvaiheessa virtuaaliympäristöön asennettiin työn vaatimat virtuaalilaitteet. Työssä suoritettin kolme skannausta, jotka käytiin läpi tarkasti. Näiden perusteella tehtiin kartoitus DAST-järjestelmän toiminnasta ja tutkitiin sen luotettavuutta haavoittuvuuksien kartoittamisessa. Työssä tarkkailtiin IPS:n toimintaa ja DAST-järjestelmän laitevalmistajan ohjelmiston avulla suoritettiin haavoittuvuuksien muuntaminen IPS:n säännöiksi.
Lopuksi DAST-järjestelmän luotettavuutta tietoturvahaavoittuvuuksien havainnoinnista arvioitiin kuten myös IPS-järjestelmän kyky estää yleisimpiä tietoturvauhkia, jotka kohdistuvat web-sovellukseen. Myös DAST-järjestelmän laitevalmistajan ohjelmistolla tehty sääntökanta IPS-järjestelmään käytiin läpi ja siinä mahdolliset ongelmat havainnoitiin. DAST-järjestelmä ei ole täysin toimiva vielä, mutta sillä on selvästi arvoa tiettyjen web-sovelluksien tietoturvan kartoittamisessa.
Työssä keskityttiin tutkimaan web-sovelluksen haavoittuvuuksia ja sitä, miten niiden estäminen on mahdollista hyödyntäen DAST-järjestelmän antamia tuloksia. Työssä testattiin myös IPS:n eli Intrusion Prevention Systemin kykyä estää löydettyjen haavoittuvuuksien hyväksikäyttö- ja hyökkäysyritysten huomaaminen. Työ suoritettiin virtuaaliympäristössä.
Teoriaosuudessa käytiin läpi HTTP/HTTPS-protokollia, asiakas- ja palvelinpuolen ohjelmointia ja perehdyttiin OWASP 2010 –julkaisuun, jossa mainitaan 10 yleisintä tietoturvauhkaa web-sovelluksia vastaan. Teoriaosuudessa käytiin myös läpi tietoturvalaitteistoa ja niiden toimintaa. Toteutusvaiheessa virtuaaliympäristöön asennettiin työn vaatimat virtuaalilaitteet. Työssä suoritettin kolme skannausta, jotka käytiin läpi tarkasti. Näiden perusteella tehtiin kartoitus DAST-järjestelmän toiminnasta ja tutkitiin sen luotettavuutta haavoittuvuuksien kartoittamisessa. Työssä tarkkailtiin IPS:n toimintaa ja DAST-järjestelmän laitevalmistajan ohjelmiston avulla suoritettiin haavoittuvuuksien muuntaminen IPS:n säännöiksi.
Lopuksi DAST-järjestelmän luotettavuutta tietoturvahaavoittuvuuksien havainnoinnista arvioitiin kuten myös IPS-järjestelmän kyky estää yleisimpiä tietoturvauhkia, jotka kohdistuvat web-sovellukseen. Myös DAST-järjestelmän laitevalmistajan ohjelmistolla tehty sääntökanta IPS-järjestelmään käytiin läpi ja siinä mahdolliset ongelmat havainnoitiin. DAST-järjestelmä ei ole täysin toimiva vielä, mutta sillä on selvästi arvoa tiettyjen web-sovelluksien tietoturvan kartoittamisessa.