Verkkosovellusten yleisimmät haavoittuvuudet ja käytänteet niiden ehkäisemiseksi

Abstract

Verkkosovellukset ovat houkutteleva tapa tarjota kuluttajille palveluita, koska selainpohjainen sovellus takaa sen, että yksi ja sama sovellus toimii usealla eri alustalla riippumatta laitteesta tai käyttöjärjestelmästä. Verkkosovellukset ovat kuitenkin alttiimpia kyberhyökkäyksille, koska niiden verkkokäyttöliittymärajapinta on julkisesti avoin. Lisäksi verkkosovelluksien koostuminen suuresta määrästä vuorovaikutuksessa keskenään olevia teknologioita on johtanut tietoturvan toteutumisen hankaloitumiseen, koska kehittäjät joutuvat pitämään silmällä kunkin teknologian haavoittuvuuksille altistavia tekijöitä. Tämän vuoksi on tärkeää tutkia verkkosovellusten mahdollisia haavoittuvuuksia, syitä näihin sekä kuinka ne voidaan ehkäistä. Tutkielmassa käsiteltiin verkkosovellusten rakennetta siltä pohjalta, että kuinka eri teknologioiden läsnäolo johtaa haavoittuvuuksiin. Tutkielmassa käsiteltiin myös verkkosovellusten yleisimpiä haavoittuvuuksia ja kuinka näitä voidaan ehkäistä. Koska verkkosovelluksiin kohdistuvia haavoittuvuuksia on lukuisia, niitä kaikkia on mahdotonta käsitellä tämän tutkielman puitteissa. Siksi tässä tutkielmassa käsitellyt haavoittuvuudet pohjattiin OWASP:n vuoden 2013 top 10 listaukseen verkkosovelluksiin kohdistuvista haavoittuvuuksista soveltuvilta osin. Kirjallisuuskatsauksen perusteella löydettiin verkkosovellusten haavoittuvuuksien syille neljä yläkategoriaa: puutteellinen syötteiden varmistus, puutteellinen istuntotunnisteen hallinta, puutteet verkkosovelluksen loogisessa rakenteessa ja puutteellinen verkkosovelluksen alustan konfiguraatio. Kirjallisuuskatsauksen perusteella, tutkielmassa esitettiin myös kehittämisvaiheen käytänteet, joiden avulla edellä mainituista syistä johtuvat haavoittuvuudet vältetään.

Web applications have become a tempting way to provide services for customers because using an application via web browser provides a way to run it no matter what device or operating system user is using. However, web applications are more prone to cyber-attacks because they accessible through their web user interface. In addition, web applications constitute of many different technologies that are in interaction with each other meaning that developers need to keep an eye on vulnerabilities that are due to using each of technologies. That is a reason for doing research of web application vulnerabilities: what are the reasons that lead to their existence and what are the ways to prevent them. In this paper, web application architecture and how structure of large amount of different technologies leads to existence of vulnerabilities were surveyed. Also the most common web application vulnerabilities and prevention technics were surveyed. Because there exists large amount of different web application vulnerabilities it is impossible to have them all present in this research. That’s why vulnerability chapter in this paper have been limited to base on of applicable part of OWASP’s top 10 list of the most dangerous web application vulnerabilities from 2013. Four main categories were found to be causes of web application vulnerabilities: lack of input validation, poor session management, shortcoming in application’s logical structure and security misconfiguration. Based on literature review, practices to prevent vulnerabilities that occur because those reasons were also presented.