Verkkopalvelun tietoturvatarkastus

Verkkopalvelun tietoturvatarkastuksen tarkoituksena on selvittää järjestelmän väärinkäytön mahdollistavat haavoittuvuudet, jotta ne voidaan korjata tai muulla tavoilla pienentää niiden aiheuttamaa riskiä. Työssä tunnistetaan palvelussa olevat haavoittuvuudet, havainnollistetaan niiden hyväksikäyttötapaukset sekä annetaan niiden selkokieliset korjaussuositukset

Tarkastus tehdään sekä manuaalisia että koneellisia menetelmiä käyttäen. Manuaalisessa testauksessa tunnistetaan haavoittuvuudet, joita skannerit ja työkalut eivät kykene tunnistamaan. Näitä ovat muun muassa järjestelmän käytön logiikkaan liittyvät haavoittuvuudet.

 

Yleisimmät haavoittuvuudet

Auditoinnissa keskitytään muun muassa alla esitettyihin haavoittuvuuksiin, mutta myös muut mahdolliset haavoittuvuudet tunnistetaan:

 

Injection
Broken Authentication and Session Management
Cross Site Scripting
Insecure Direct Object References
Security Misconfiguration
Sensitive Data Exposure
Missing Function Level Access Control
Cross-Site Request Forgery (CSRF)
Using Components with Known Vulnerabilities
Unvalidated Redirects and Forwards
(OWASP TOP 10 haavoittuvuudet, lähde OWASP)

 

Työn toteutus

Työ koostuu määrittely-, toteutus- ja raportointivaiheista. Havainnot ja haavoittuvuuksien korjaussuositukset käsitellään asiakkaan kanssa kasvokkain, jotta asiakas kykenee päättämään korjauksista. Tarkemmat kuvaukset, analyysit ja selkeät korjaussuositukset kirjataan lisäksi erilliseen tekstimuotoiseen tulosraporttiin.

 

Manuaalisen testauksen apuna käytettävät työkalut

Auditoinnin apuna käytetään muun muassa seuraavia työkaluja soveltuvin osin:

Burp Suite Professional, Acunetix, Kali Linux, NMAP, Nessus, Firefox (Web Developer, Tamper Data expansions), Metasploit, SwfScan.

Edellä mainittujen lisäksi auditoijat kehittävät tapauskohtaisesti kevyitä haavoittuvuuskohtaisia työkaluja/skriptejä yksittäisen haavoittuvuuden kattavuuden selvittämiseksi ja todentamiseksi.

 

Työskentelymallit

Käyttämämme työskentelymallit pohjautuvat yleisesti tunnettuihin tietoturvakäytäntöihin, kuten OSSTMM ja OWASP -dokumentaatioihin.

 

Haavoittuvuuksien yleisyys

Olemme tehneet noin tuhat edellä kuvatunlaista verkkopalvelun tietoturvatarkastusta ja 100% näistä on johtanut siihen, että asiakas on päättänyt korjauttaa haavoittuvuuksia.