OWASP Top 10 -haavoittuvuuksien korjaaminen TIM-järjestelmästä

Abstract

Modernit web-sovellukset ovat monimutkaisia, minkä vuoksi ne voivat sisältää erilaisia haavoittuvuuksia. Jyväskylän yliopiston tietotekniikan laitoksella on kehitteillä The Interactive Material -järjestelmä, johon tallennetut dokumentit voivat sisältää interaktiivisia komponentteja ja jossa opiskelijat voivat esimerkiksi tehdä luentomonisteeseen omia muistiinpanojaan. Tutkielmassa käydään läpi web-sovellusten yleisimmät haavoittuvuudet OWASP-organisaation Top 10 -listan mukaan ja selvitetään, mitä näistä haavoittuvuuksista TIM-järjestelmän nykyisessä versiossa on ja kuinka ne voidaan järkevästi korjata. Haavoittuvuuskartoituksessa sovelletaan sekä penetraatiotestausta että lähdekoodin systemaattista läpikäyntiä. Tämän konstruktiivisen tutkielman tuloksena saadaan joukko toteutustekniikoita, joiden avulla haavoittuvuudet voidaan välttää.

Modern web applications are complex, which is why they may contain various vulnerabilities. A web application called The Interactive Material is being developed at the Department of Mathematical Information Technology, University of Jyväskylä. Documents stored in TIM can contain interactive components and students are able, for instance, to make their own notes in the documents. This thesis presents the most common vulnerabilities found in web applications according to OWASP Top 10 and explores which of these vulnerabilities are present in the current version of TIM and how they can efficiently be fixed. Both penetration testing and systematic source code analysis are applied in the process of finding vulnerabilities. As a result of this constructive study, we obtain a set of implementation techniques, with the help of which the vulnerabilities can be avoided.