Penetraatiotestaus web-sovelluksissa

Abstract

Tässä tutkielmassa tarkastellaan penetraatiotestauksen hyötyjä, menetelmiä ja työkaluja sekä niitä haavoittuvuuksia, joita penetraatiotestaus paljastaa verkkosovelluksissa. Tutkimuksen tavoitteena oli selvittää penetraatiotestauksen keskeiset hyödyt, kuten tietoturvatietoisuuden lisääminen ja hyvien käytäntöjen omaksuminen ohjelmistokehitysprosessissa, sekä yleisimmät verkkosovellusten haavoittuvuudet. Tutkielmassa analysoitiin kahdeksan verkkosovellukselle tehdyn penetraatiotestausraportin löydöksiä, jotka kategorisoitiin ja verrattiin vuoden 2021 OWASP Top 10 -listaan. Tulokset osoittivat, että yleisimmät havaitut haavoittuvuudet poikkesivat osittain OWASP:n listalla esitetyistä, mikä voi johtua tutkimuksen pienestä otannasta. Testausmenetelmistä tarkasteltiin sekä black-box- että white-box testausta, joista ensimmäisessä testaaja ei käytä ennakkotietoja sovelluksesta ja jälkimmäisessä hyödyntää sovelluksen sisäistä tietoa ja koodia. Penetraatiotestauksessa käytetyistä työkaluista mainittiin muun muassa OWASP ZAP ja NMap.

Penetraatiotestaus on nyky-yhteiskunnassa yhä tärkeämpää, koska verkkosovellukset ovat kriittisessä roolissa lähes kaikilla elämänalueilla, kuten taloudessa ja terveydenhuollossa. Digitaalisen riippuvuuden lisääntyessä myös kyberuhat kasvavat, ja organisaatioiden on varmistettava, että niiden sovellukset kestävät modernit hyökkäykset. Penetraatiotestauksen avulla voidaan ennaltaehkäistä tietomurtoja ja suojata käyttäjien yksityisyyttä.