Verkkosovellusten tietoturvatestaus osana verkkohotellipalvelua
Saarelma, Heikki (2014)
2014
Automaatiotekniikan koulutusohjelma
Teknisten tieteiden tiedekunta - Faculty of Engineering Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2014-11-05
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi:tty-201410101509
http://urn.fi/URN:NBN:fi:tty-201410101509
Tiivistelmä
Verkkohotellipalvelu on yrityksille ja yksityisille asiakkaille tarjottava palvelu, jonka avulla voidaan ylläpitää verkkosivuja ja verkkosovelluksia. Verkkohotellipalvelu tarkoittaa yksinkertaisesti palvelin ja verkkokapasiteetin vuokraamista. Palveluiden suosio on kasvanut nopeasti ja samalla ennen palveluntarjoajiin kohdistuneiden hyökkäyksien painopiste on siirtynyt verkkosovelluksista etsittäviin haavoittuvuuksiin. Hyökkääjien ei ole enää kannattavaa luoda uusia vihamielisiä sivustoja, vaan vihamielisen ohjelmakoodin ujuttaminen jo tunnetuille hyvämaineisille sivuille on todettu tehokkaammaksi ratkaisuksi. Tällainen hyökkäys tarvitsee onnistuakseen verkkosivuilla sijaitsevan haavoittuvuuden ja haavoittuvuuksien etsiminen on yleisesti automatisoitu haavoittuvuusskannereilla. Työn yksi tavoite on tutustua tähän prosessiin ja pohtia miten palveluntarjoaja voi parantaa palveluaan ja asiakkaiden tietoturvaa.
Jotta palveluntarjoaja voi toimia tällaisessa ympäristössä, täytyy palveluntarjoajan ja asiakkaan vastuut olla etukäteen määritelty. Vastuiden määrittelyä varten täytyy ymmärtää verkkosovellusten rakenteita ja tietoturvaan liittyviä termejä. Lisäksi työssä tutustutaan yleisimpiin sovelluksia koskeviin uhkiin, kuten XSS-hyökkäyksiin, injektioihin ja tiedon vuotamiseen. Tämän tiedon pohjalta testataan kuusi dHosting-verkkohotellipalvelussa toimivaa verkkosovellusta. Testaus perustuu sovellusten tunnistamiseen ja kahden haavoittuvuusskannerin testausraportteihin. Tulosten pohjalta pohditaan löytyneitä haavoittuvuuksia, palvelun yleistä tietoturvan tilaa ja onko palveluntarjoajalla mahdollisuuksia parantaa omaa toimintaansa.
Jotta palveluntarjoaja voi toimia tällaisessa ympäristössä, täytyy palveluntarjoajan ja asiakkaan vastuut olla etukäteen määritelty. Vastuiden määrittelyä varten täytyy ymmärtää verkkosovellusten rakenteita ja tietoturvaan liittyviä termejä. Lisäksi työssä tutustutaan yleisimpiin sovelluksia koskeviin uhkiin, kuten XSS-hyökkäyksiin, injektioihin ja tiedon vuotamiseen. Tämän tiedon pohjalta testataan kuusi dHosting-verkkohotellipalvelussa toimivaa verkkosovellusta. Testaus perustuu sovellusten tunnistamiseen ja kahden haavoittuvuusskannerin testausraportteihin. Tulosten pohjalta pohditaan löytyneitä haavoittuvuuksia, palvelun yleistä tietoturvan tilaa ja onko palveluntarjoajalla mahdollisuuksia parantaa omaa toimintaansa.