Web-sovellusten haavoittuvuudet ja penetraatiotestaus
Harju, Kristian (2016)
Harju, Kristian
Haaga-Helia ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201605137769
https://urn.fi/URN:NBN:fi:amk-201605137769
Tiivistelmä
Penetraatiotestaus ja tietoturva ovat olennainen osa ohjelmistokehitystä. Luottamuksellisen tiedon ja identiteettivarkauksien määrä on kasvava ongelma tällä hetkellä. Näistä syistä web-sovellusten haavoittuvuudet ja tietoturvallisuus ovat ajankohtaisia ja kiinnostavia aiheita monille ohjelmoijille.
Tämän tutkimuksen tarkoituksena oli tarjota tietoa ohjelmoijille, miten web-sovellukset ovat alttiina hyökkäyksille sekä antaa muutamia perusohjeita, miten estää näitä uhkia. Toisena tavoitteena oli selvittää, mitä on eettinen hakkerointi ja tutkia, miten penetraatiotestaus suoritetaan asianmukaisella tavalla.
Tässä tutkimuksessa keskityttiin ohjelmistokoodiin. Palvelin- ja asiakasohjelmiston konfiguraatiot jätettiin tutkimuksen ulkopuolelle. OWASP Top Ten -listausta käytettiin lähteenä web-sovellusten tämän hetken kaikkein yleisimmille haavoittuvuuksille.
Web-sovellusten tietoturvallisuuden perusteorian ja joidenkin monimutkaisempien yksityiskohtien selittämiseen käytettiin laadukkaita kirjallisia lähteitä internetistä löytyvien lähteiden ohella. Teorian lisäksi tämä opinnäytetyö tarjoaa toimivia esimerkkejä hyökkäyksistä ja koodiesimerkkejä, kuinka ohjelmoijat voivat estää näiden haavoittuvuuksien hyödyntämistä.
Tutkimuksen tärkein kohderyhmä on web-ohjelmoijat ja erityisesti ne, jotka käyttävät ohjelmointikielenä Javaa.
Tämän tutkimuksen tarkoituksena oli tarjota tietoa ohjelmoijille, miten web-sovellukset ovat alttiina hyökkäyksille sekä antaa muutamia perusohjeita, miten estää näitä uhkia. Toisena tavoitteena oli selvittää, mitä on eettinen hakkerointi ja tutkia, miten penetraatiotestaus suoritetaan asianmukaisella tavalla.
Tässä tutkimuksessa keskityttiin ohjelmistokoodiin. Palvelin- ja asiakasohjelmiston konfiguraatiot jätettiin tutkimuksen ulkopuolelle. OWASP Top Ten -listausta käytettiin lähteenä web-sovellusten tämän hetken kaikkein yleisimmille haavoittuvuuksille.
Web-sovellusten tietoturvallisuuden perusteorian ja joidenkin monimutkaisempien yksityiskohtien selittämiseen käytettiin laadukkaita kirjallisia lähteitä internetistä löytyvien lähteiden ohella. Teorian lisäksi tämä opinnäytetyö tarjoaa toimivia esimerkkejä hyökkäyksistä ja koodiesimerkkejä, kuinka ohjelmoijat voivat estää näiden haavoittuvuuksien hyödyntämistä.
Tutkimuksen tärkein kohderyhmä on web-ohjelmoijat ja erityisesti ne, jotka käyttävät ohjelmointikielenä Javaa.