Web-sovellusten manuaalisen penetraatiotestauksen erilaiset ohjeet

Abstract

Penetraatiotestaukselle ei ole vielä virallista standardia, mutta monet toimijat ovat julkaisseet omia ohjeitaan tietoturvatestaukseen. Tässä kanditutkielmassa vertaillaan kolmea seuraavaa ohjetta, Offensive Securityn julkaisema Kali Linux Revealed, NIST erikoisjulkaisu 800-115 ja OSSTMM 3. Tutkielman tarkoitus on selvittää miten niiden esittelemät testausmetodologiat poikkeavat toisistaan, ja miten ne soveltuvat manuaalisen web-penetraatiot testauksen opetteluun. Tutkielman tuloksena on että kaikkien kolmen ohjeen testausmetodologiat ovat toteutukseltaan samankaltaisia, vaikka niiden käyttämä termistö tai etenemiskaavio poikkeavatkin toisistaan ja ne poikkeavat lukijakunnna osaamistasossa.

Penetration testing does not yet have official standard, but many companies, offices and organisation have published their own guidelines for information security testing. In this bachelor's thesis three different manuals are being compared; Kali Linux Revealed by Offensive Security, NIST special publication 800-115 and OSSTMM 3. Testing methodologies presented by these manuals are being compared, as well as their suitability as teaching method for manual penetration testing of web applications. We find that all three manuals testing methodologies follow same kind execution, even when they differ in terminology or in progress charts and require skill level.