Verkkosovelluksen haavoittuvuustestaus
Tutkimuksen aiheena oli verkkosovellusten haavoittuvuuksien testaaminen ja tietoturvallisuuden parantaminen. Aihe on ajankohtainen, koska verkkosovelluksia käytetään yhä enemmän päivittäisten asioiden hoitamiseen. Lisäksi myös yhteiskunnan tärkeät toiminnot digitalisoituvat, mikä voi lisätä niiden haavoittuvuutta. Tutkimuskysymyksenä on, mitä haavoittuvuuksia eräästä verkkosovelluksesta löytyy ja miten niitä voidaan havaita. Yleisesti verkkosovellusten haavoittuvuustestausta ja haavoittuvuuksien hyödyntämistä on tutkittu runsaasti. Tässä tutkimuksessa tarkoituksena oli kuvata tarkasti itse testausprosessin toteutus ja suorittaa verkkosovellukseen kattava tietoturvatestaus.
Tietoturvallisuudella tarkoitetaan tiedon suojaamista luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Verkkosovellus on verkossa toimiva palvelu, kuten verkkopankki tai sosiaalisen median palvelu. Haavoittuvuudet ovat sovellusten teknisiä ominaisuuksia, jotka voivat ilmetä tietoturvallisuutta vaarantavina tekijöinä. Esimerkiksi ohjelmointivirhe voi mahdollistaa luottamuksellisten tietojen paljastumisen.
Tutkimus toteutettiin konstruktiivista tutkimusotetta käyttäen. Tarkoituksena oli koostaa raportti, josta ilmenee verkkosovelluksen haavoittuvuudet ja kehitysehdotukset. Teoreettiseksi viitekehykseksi kerättiin aineistoa kirjallisuuskatsauksella. Tutkimuksessa toteutettiin haavoittuvuustestaus eri työkaluilla määriteltyä testausprosessia käyttäen, joka käsitti tiedonhankinnan, haavoittuvuuksien skannaamisen automaattisilla työkaluilla, palvelunestohyökkäyksen ja sovelluksen lähdekoodin analysoinnin. Testauksen perusteella löydettiin muutamia haavoittuvuuksia, joiden poistamiseksi annettiin suosituksia kehittäjille. Tuloksista voidaan päätellä, että sovellus on tietyiltä osin haavoittuva, mutta haavoittuvuudet ovat helposti korjattavissa.
...
The subject of the thesis was to test vulnerabilities in web applications and improve their information security. Web applications are used more and more in everyday life and digitalization can increase the number of vulnerabilities. The research question is what vulnerabilities there are in a web application and how they can be improved. In general, the topic of web application vulnerability testing and exploitation of vulnerabilities has been researched abundantly. The objective of this research was to describe in detail the testing process and perform testing to a web application.
Information security means protecting the confidentiality, integrity, and availability of information. A web application is a service provided on the Internet, such as an online bank or social media platform. Vulnerabilities are technical features of those applications that can danger the security of information. For example, a programming error can cause sensitive data exposure.
The research was conducted using a constructive research method. The aim was to construct a report with known vulnerabilities in the application and provide means on how to improve them. A literature review was used to build a theoretical framework. Vulnerability testing was done according to the testing process using different tools. The process included information gathering, vulnerability scanning with automated tools, denial of service, and source code analysis. A few vulnerabilities were found in the testing, and instructions were given to developers in order to fix them. The findings indicate that the application was vulnerable but the vulnerabilities are easily fixed.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29765]
License
Related items
Showing items with similar title or keywords.
-
IOT-laitteiden kyberturvahaavoittuvuudet älykotiympäristössä
Kyrölä, Alina (2021)Internet of Things, eli esineiden internet, on viime vuosina yleistynyt teknologia, joka on tarjonnut helpotusta ja mukavuutta niin julkiselle sektorille, kuin yksityishenkilöille. Yksi yksityishenkilöiden käyttöympäristöistä ... -
HALE-IoT : HArdening LEgacy Internet-of-Things devices by retrofitting defensive firmware modifications and implants
Carrillo-Mondejar, J.; Turtiainen, Hannu; Costin, Andrei; Martinez, J.L.; Suarez-Tangil, G. (IEEE, 2022)Internet-Of-Things (IoT) devices and their firmware are notorious for their lifelong vulnerabilities. As device infection increases, vendors also fail to release patches at a competitive pace. Despite security in IoT being ... -
MQTT-protokollan tietoturvallisuuden testaaminen
Hakonen, Sami (2023)Tässä tutkielmassa tarkoituksena oli selvittää älykoti ja IoT-järjestelmissä yleisesti käytetyn MQTT-protokollan tietoturvallisuuden ominaisuuksia, protokollaan kohdistettavia hyökkäyksiä ja hyökkäyksien lievennyskeinoja. ... -
Reducing the Time to Detect Cyber Attacks : Combining Attack Simulation With Detection Logic
Myllyla, Juuso; Costin, Andrei (FRUCT Oy, 2021)Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are ... -
Towards Practical Cybersecurity Mapping of STRIDE and CWE : a Multi-perspective Approach
Honkaranta, Anne; Leppänen, Tiina; Costin, Andrei (FRUCT Oy, 2021)Cybersecurity practitioners seek to prevent software vulnerabilities during the whole life-cycle of systems. Threat modeling which is done on the system design phase is an efficient way for securing systems; preventing ...