Verkkosovellusten kriittisimmät haavoittuvuudet ja miten niitä ehkäistään

Abstract

Viimevuosien aikana verkkosovellukset ovat kasvattaneet suosiotaan verkkoselaimella saavutettavan universaalin saatavuuden, sekä helppokäyttöisyyden vuoksi. Tämä muutos ei kuitenkaan ole saapunut ilman seuraamuksia. Verkkosovellukset omaavat suuren hyökkäyspinta-alan pahantahtoisia toimijoita kohtaan, pääasiassa monimutkaisuutensa sekä sovelluksissa käytettävien teknologioiden suuren määrän takia. Tämä tutkimus keskittyi kriittisimpiin verkkosovellusten haavoittuvuuksiin, sekä siihen, miten niitä voidaan ehkäistä. Tutkimus toteutettiin systemaattisena kirjallisuuskatsauksena. Haavoittuvuudet johdettiin tuoreimmasta OWASP Top Ten- listauksesta kriittisimmistä verkkosovellusten haavoittuvuuksista, sekä haavoittuvuudet kategorisoitiin neljään eri kategoriaan niiden ominaisuuksien mukaan. Tutkimuksessa huomattiin, että vaikka monia haavoittuvuuksista voidaan lievittää tai vähentää implementoimalla puolustautuvaa ohjelmointia, suuren osan ajasta skannaukset ja testaukset suoritetaan legacy-sovelluksille. Tämä korostaa dynaamisen ja staattisen analyysin merkitystä. Toinen suuri tekijä turvallisessa verkkosovelluksen kehityksessä on inhimillisen virheen minimointi, joka on paljolti edustettuna loogiseen rakenteeseen liittyvissä haavoittuvuuksissa sekä alustan konfiguroinnissa.

In recent years, web applications have grown in popularity due to their universal accessibility via browsers and their ease of use. However, this change has not come without its consequences. Web applications possess a large attack surface for malicious actors, mainly because of the complexity and number of different technologies implemented in these applications. This study focused on the most critical web application vulnerabilities, and how to detect and avoid them. The study was made as a systematic literary review. The vulnerabilities were derived from the latest OWASP Top Ten listing of the most critical web application vulnerabilities, and they were further categorized into four different types by their properties. It was found that while most of the vulnerabilities can be mitigated by implementing defensive coding practices, most of the time vulnerability scanning and testing is made on legacy applications. This highlights the importance of dynamic and static analysis. Another major factor in secure web application development is minimizing human error, which is massively represented on vulnerabilities regarding the web applications logical correctness or the configuration of the platform.