Millaisia haavoittuvuuksia sovellustestauksessa löydetään?

2NS toimittaa satoja ohjelmistojen tietoturvatestauksia vuosittain. Tyypillisempiä testattavia kohteita ovat niin sanotut web-sovellukset ja mobiilisovellukset. Mukaan mahtuu myös päätelaitteella suoritettavia perinteisiä ns. client-ohjelmistoja.

Mitä haavoittuvuuksia tietoturvatestauksissa sitten useimmiten löytyy? Ja mitä niihin liittyvät riskit useimmin ovat?

Tässä 2NS:n listaus vuonna 2024 suorittamiemme sovellustestausten perusteella:

1. XSS-injektiot. Yleisin 2NS:n löytämä haavoittuvuus testatuista asiakkaiden sovelluksista oli XSS-injektion mahdollisuus. OWASP Top 10 -listan vielä toistaiseksi voimassa olevasta versiosta neljänneltä sijalta löytyvä haavoittuvuus on siis varsin yleinen.
2. Pääsynhallinnan haavoittuvuudet. Toiseksi yleisimmät löydetyt haavoittuvuudet liittyvät pääsynhallintaan ja sen määrittelyihin. Pääsynhallinnan ongelmat voivat tarkoittaa vääränlaisia käyttöoikeuksia väärille tahoille tai sellaisen tiedon näkemistä, jota esimerkiksi tavallisen tason käyttäjien ei kuuluisi nähdä.
3. Palvelunestohyökkäykset. Kolmanneksi yleisimmät löydökset olivat sellaisia, jotka indikoivat sovellusten ja niiden arkkitehtuurin olevan alttiita palvelunestohyökkäyksille esimerkiksi sitä kautta miten erilaisia sovellukseen tulevia pyyntöjä käsitellään.
4. Arkaluontoisen tiedon tallentuminen välimuistiin. OWASP:in listassa tämä haavoittuvuus lasketaan kryptografisten haavoittuvuuksien alle. Välimuistiin tallennetut tiedot ovat alttiina luvattomalle käytölle ja tietomurroille.
5. Avoimet uudelleenohjaukset. Avoimien uudelleenohjausten mahdollinen väärinkäyttö avaa mahdollisuuden tietojenkalastelulle ja käyttäjien huijaamiseen lataamaan haittaohjelmia.
6. Arkaluontoinen tieto URL-osoitteissa. URL-osoitteisiin tallentuvat arkaluontoiset tiedot tarkoittavat, että verkkolokit käyttäjän tai sovelluksen tarjoajan päästä sisältävät helposti saatavilla olevaa arkaluontoista tietoa. Tiedot ovat näin ollen huomattavan suuressa riskissä tietomurtojen tai -vuotojen sattuessa.
7. SQL-injektiot. Tietokantaan kohdistuvat injektiohyökkäykset voivat johtaa tietokannan manipulointiin, tietojen varastamiseen tai niiden ei-toivottuun poistamiseen,
8. HTML-injektiot. Tämä haavoittuvuus mahdollistaa haitallisen sisällön upottamisen HTML-koodiin. Sen kautta voidaan muuttaa sovelluksen ulkoasua ja käyttää sovellusta alustana esimerkiksi epätoivottuun viestintään. Mahdollisia haittoja ovat myös käyttäjien selainten kaappaus tai tiedon varastaminen.
9. Palvelinpyyntöjen väärentäminen. Haitalliset palvelinpyynnöt voivat esimerkiksi paljastaa sovellusta pyörittävän yrityksen arkkitehtuurin sisäisiä resursseja, avata mahdollisuuden tietomurroille tai palvelinestohyökkäyksille.
10. Sivustojen välisten pyyntöjen väärentäminen. Tällainen haavoittuvuus voi mahdollistaa tilanteen, jossa käyttäjä pakotetaan suorittamaan ei-toivottuja toimintoja toisella sivustolla. Yksi paha esimerkki on mahdollisuus pakottaa käyttäjä tietämättään rahansiirtoihin.

Sovellustestausten hyöty ei rajoitu pelkkään haavojen paikkaamiseen. Testiraportti antaa tärkeää oppia kehittäjille siitä, millaisesta näkökulmasta mahdollinen hyökkääjä sovelluksen tietoturvan kestävyyttä testaisi.

Haluatko keskustella lisää sovellustestauksista?