Verkkosovelluksen haavoittuvuustestaus

Abstract

Tutkimuksen aiheena oli verkkosovellusten haavoittuvuuksien testaaminen ja tietoturvallisuuden parantaminen. Aihe on ajankohtainen, koska verkkosovelluksia käytetään yhä enemmän päivittäisten asioiden hoitamiseen. Lisäksi myös yhteiskunnan tärkeät toiminnot digitalisoituvat, mikä voi lisätä niiden haavoittuvuutta. Tutkimuskysymyksenä on, mitä haavoittuvuuksia eräästä verkkosovelluksesta löytyy ja miten niitä voidaan havaita. Yleisesti verkkosovellusten haavoittuvuustestausta ja haavoittuvuuksien hyödyntämistä on tutkittu runsaasti. Tässä tutkimuksessa tarkoituksena oli kuvata tarkasti itse testausprosessin toteutus ja suorittaa verkkosovellukseen kattava tietoturvatestaus.

Tietoturvallisuudella tarkoitetaan tiedon suojaamista luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Verkkosovellus on verkossa toimiva palvelu, kuten verkkopankki tai sosiaalisen median palvelu. Haavoittuvuudet ovat sovellusten teknisiä ominaisuuksia, jotka voivat ilmetä tietoturvallisuutta vaarantavina tekijöinä. Esimerkiksi ohjelmointivirhe voi mahdollistaa luottamuksellisten tietojen paljastumisen.

Tutkimus toteutettiin konstruktiivista tutkimusotetta käyttäen. Tarkoituksena oli koostaa raportti, josta ilmenee verkkosovelluksen haavoittuvuudet ja kehitysehdotukset. Teoreettiseksi viitekehykseksi kerättiin aineistoa kirjallisuuskatsauksella. Tutkimuksessa toteutettiin haavoittuvuustestaus eri työkaluilla määriteltyä testausprosessia käyttäen, joka käsitti tiedonhankinnan, haavoittuvuuksien skannaamisen automaattisilla työkaluilla, palvelunestohyökkäyksen ja sovelluksen lähdekoodin analysoinnin. Testauksen perusteella löydettiin muutamia haavoittuvuuksia, joiden poistamiseksi annettiin suosituksia kehittäjille. Tuloksista voidaan päätellä, että sovellus on tietyiltä osin haavoittuva, mutta haavoittuvuudet ovat helposti korjattavissa.

The subject of the thesis was to test vulnerabilities in web applications and improve their information security. Web applications are used more and more in everyday life and digitalization can increase the number of vulnerabilities. The research question is what vulnerabilities there are in a web application and how they can be improved. In general, the topic of web application vulnerability testing and exploitation of vulnerabilities has been researched abundantly. The objective of this research was to describe in detail the testing process and perform testing to a web application.

Information security means protecting the confidentiality, integrity, and availability of information. A web application is a service provided on the Internet, such as an online bank or social media platform. Vulnerabilities are technical features of those applications that can danger the security of information. For example, a programming error can cause sensitive data exposure.

The research was conducted using a constructive research method. The aim was to construct a report with known vulnerabilities in the application and provide means on how to improve them. A literature review was used to build a theoretical framework. Vulnerability testing was done according to the testing process using different tools. The process included information gathering, vulnerability scanning with automated tools, denial of service, and source code analysis. A few vulnerabilities were found in the testing, and instructions were given to developers in order to fix them. The findings indicate that the application was vulnerable but the vulnerabilities are easily fixed.