Vulnerabilities in the wild : detecting vulnerable web applications at scale

Web-sovellukset ovat suosittu kohde pahansuoville hyökkäyksille. Yleisissä web-sovelluksista voi löytyä useita haavoittuvuuksia vuoden aikana, joten on tärkeää päivittää sovelluksia aktiivisesti, jos niihin tulee tietoturvapäivityksiä. Harvoin näissä sovelluksissa on kuitenkaan automaattisia päivityksiä, joten järjestelmien päivittäminen on usein käyttäjän harteilla. Jos järjestelmä joutuu hyökkäyksen kohteeksi, sitä ei pelkästään saateta käyttää sivuston omistajaa vastaan, vaan myös aiheuttamaan haittaa sen käyttäjille. Mikäli web-sovellusten päivitystavat olisivat paremmin tiedossa, voitaisiin päivityskäytäntöjä parantaa tämän tiedon pohjalta. Tutkielman tavoitteena on muodostaa menetelmä internetin laajuiseen web-sovellusten haavoittuvuuteen liittyvän metainformaation tiedonkeruuseen. Metodia tullaan testaamaan WordPress-sovellusta vastaan, joka on yksi suosituimmista avoimen lähdekoodin web-sovelluksista. Menetelmä on artefakti, joka kehitetään noudattaen kuusi askelta käsittävää suunnittelutieteen (Design Science) metodologiaa. Tutkimuksen yhteydessä tehdään kaksi kirjallisuuskatsausta. Ensimmäinen kirjallisuuskatsaus on toteutettu web-sovelluksia käsittelevän tietoturvakirjallisuuden pohjalta ja se keskittyy yleisemmällä tasolla web-sovelluksiin. Tämän katsauksen avulla pyritään hahmottamaan, millaisia riskejä ja hyökkäyksiä vastaavat sovellukset yleensä kohtaavat. Toinen kirjallisuuskatsaus keskittyy web-sovellusten haavoittuuksien skannaukseen, minkä avulla on mahdollista arvioida paremmin ovatko nykyiset ratkaisut sopivia koko verkon kattavaan tiedonkeruuseen. Kirjallisuuskatsausten pohjalta tutkimuksessa muodostetaan menetelmä Internetin laajalle web-sovellusten informaation keruulle. Metodin testauksen ja arvioinnin tuloksena voidaan todeta, että modernit laajennettavat ZMap projektin luomat avoimeinlähdekoodin työkalut ovat nopeita ja tehokkaita laaja-alaiseen skannaukseen ja informaation keruuseen. Censys projekti käyttää ZMap-työkalua aktiivisesti datan keruuseen tutkimuksia varten. Tässä tutkimuksessa käytetään Censys projektin keräämää dataa apuna metodin testauksessa. Testeissä saatujen tuloksien perusteella on pääteltävissä, että varsin suurella osalla WordPress-asennuksista oli käytössä yli vuoden vanha versio sovelluksesta. Asennettujen versioiden tuoreudessa oli havaittavissa pieniä viitteitä siitä, että joillain mantereilla sijaitsevat asennukset olivat astetta tuoreempia kuin toisilla. Sillä oliko web-sovelluksen web-sivulle asennettu sertifikaatti, ei näyttänyt olevan juurikaan vaikutusta sovelluksen version tuoreuteen.