Selection of open-source web vulnerability scanner as testing tool in continuous software development
Tietoturva on kriittinen osa web sovelluksia ja haavoittuvuudet tulisi ennaltaehkäistä tai tunnistaa sekä korjata mahdollisimman aikaisin ohjelmiston
kehitysprosessissa. Tämän tutkimuksen tarkoitus on määrittää kuinka hyvin avoimen lähdekoodin web sovellusten haavoittuvuustestaustyökalut sopivat kaupallisen web sovelluksen testaukseen jatkuvassa ohjelmistokehitysprosessissa. Tarve tälle tutkimukselle tuli Secapp Oy yritykseltä. Arvioitavaksi valittiin kaksi avoimen lähdekoodin web haavoittuvuusskanneria,
ZAP ja Wapiti. Nämä kaksi skanneria valittiin sen perusteella, että ne olivat ainoat viimeisimmistä tutkimuksista löytyneet avoimen lähdekoodin web haavoittuvuusskannerit, joissa
oli komentorivi käyttöliittymä ja joita edelleen kehitettiin aktiivisesti. Kumpikin skanneri myötävaikutti kohteena olevan web sovelluksen tietoturvan parantamiseen. Kumpikaan skan-
nereista ei tulosten perusteella sovellu integraatioputkessa ajettavaksi testiksi. Kumpaakin voidaan kuitenkin hyödyntää ajoittaisena automaattisena skannerina. ZAP tarjosi enemmän
vaihtoehtoja mukauttaa skannausta, tärkeimpänä mahdollisuus luokitella skannauksen löydöksiä vääriksi positiviiksi ja kohdistaa skannaus vain ennalta määritettyyn listaan URL-
osoitteita sen sijaan, että skanneri yrittäisi löytää niitä lisää. ZAP oli myös nopeampi, tarkempi löytämään oikeita haavoittuvuuksia, löysi enemmän eri haavoittuvuuksia ja oli
parempi löytämään uusia sivuja crawler toiminnoillaan. Tulosten perusteella ZAP valittiin testaamaan kohteena oleva web sovellus pääversioiden julkaisujen välillä haavoittuvuuksien
löytämiseksi.
...
Security is a critical part of web applications and vulnerabilities should be prevented or identified and fixed as early in the development process as possible. The purpose
of this study is to determine how well open-source web vulnerability scanners suit for testing commercial web application in continuous software development. The need for this
study came from Secapp Oy. Two open-source web vulnerability scanners, ZAP and Wapiti, were chosen to be evaluated. These two scanners were chosen because they were the only
open-source web vulnerability scanners found from the latest studies that had command-line interface and were still in active development. Both scanners contributed to improving the
security of the target web application. Neither of the scanners was so fast that it could be included in the integration pipeline as a test. Both scanners can be utilized as periodical
automated scanner. ZAP offered more customization options for the scan, most importantly possibility to flag scan findings as false positive and skip crawling phase and only scan listed
URLs. ZAP was also faster, more precise, found wider set of vulnerabilties and had better crawling coverage. Based on the results ZAP was chosen to scan the target web application
in between the releases to test each major version for vulnerabilities.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Secure software design and development : towards practical models for implementing information security into the requirements engineering process
Väyrynen, Aino-Maria; Räisänen, Elina (2020)Vaatimusmäärittelyprosessin tavoitteena on kerätä ja jalostaa ratkaisuiksi tuotteen tai palvelun sidosryhmiksi tunnistettujen osapuolten ajatuksia ja tarpeita. Näiden ratkaisujen avulla poistetaan asiakkaan liiketoiminnassa ... -
Vulnerabilities in the wild : detecting vulnerable web applications at scale
Laitinen, Pentti (2018)Web-sovellukset ovat suosittu kohde pahansuoville hyökkäyksille. Yleisissä web-sovelluksista voi löytyä useita haavoittuvuuksia vuoden aikana, joten on tärkeää päivittää sovelluksia aktiivisesti, jos niihin tulee ... -
Towards Practical Cybersecurity Mapping of STRIDE and CWE : a Multi-perspective Approach
Honkaranta, Anne; Leppänen, Tiina; Costin, Andrei (FRUCT Oy, 2021)Cybersecurity practitioners seek to prevent software vulnerabilities during the whole life-cycle of systems. Threat modeling which is done on the system design phase is an efficient way for securing systems; preventing ... -
Frameworks for software threats and security in secure DevOps
Leppänen, Tiina (2022)Tämä artikkeligradu pohjautuu kahteen tietoturvallista ohjelmistokehitystä tutkivaan artikkeliin. Ensimmäisen artikkelin tavoitteena on kehittää kyber-turvallisuuden prosesseja tutkimalla ja arvioimalla valittujen uhkamallien ... -
“The law that mandates us is stronger than the consumer's rights” : what are the decisions related to authentication method selection?
Tonteri, Heidi (2023)Loppukäyttäjän tunnistusmenetelmien valinnalle on olemassa erilaisia viitekehyksiä, mutta yksikään niistä ei ota kantaa organisaation näkökulmaan turvalliseen ohjelmistokehitykseen liittyen. Tutkimuksen tarkoituksena oli ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.