WEB-SOVELLUKSEN SUOJAAMINEN JA TESTAAMINEN SQL-INJEKTIOIDEN VARALTA
Ikonen, Ilja (2015)
Ikonen, Ilja
2015
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Tämä pro gradu –tutkielma käsittelee SQL-injektioilta suojautumista sekä testaamis-ta web-sovelluksissa. Testaus web-sovellukseen tehdään SQL-injektiotekniikoita sekä eri testausmetodeja käyttäen. Teoriaosio koostuu alan kirjallisuudesta ja siinä käydään läpi SQL-injektiot, niiltä suojautuminen sekä testaaminen.
Tutkimuksen tarkoitus oli tehdä mahdollisimman laaja testaus web-sovellukseen. Testauksen avulla voidaan löytää tietojärjestelmän mahdollisia haavoittuvuuksia. Testauksessa lähdetään liikkeelle testaussuunnitelmasta, joka on luotu SQL-injektiotekniikoiden sekä testaukseen liittyvän kirjallisuuden pohjalta.
Syy tutkielman tekemiseen on jatkuvasti lisääntyvät tietoturvauhat maailmalla. Sekä yritykset että yksityiset henkilöt käyttävät tietotekniikkaa hyväkseen jokapäiväisessä elämässään. Web-sovellukset pitävät usein sisällään käyttäjien henkilökohtaisia tieto-ja aina sähköpostiosoitteista luottokorttitietoihin. Suurin osa tietokannoista on myös koodattu SQL-tietokantakielellä, jonka takia SQL-injektiot ovat yksi suurimmista tietoturvauhkista tänä päivänä.
Tutkimuksen kirjallisuuskatsauksessa selvitetään hyökkäystekniikoita sekä hyökkä-yksiltä suojautumista. Tämän jälkeen tutkimukseen otetaan mukaan testauksen teo-ria, jonka avulla hyökkäystekniikat voidaan sitoa itse tutkielman testausosioon. Tes-tattavalle web-sovellukselle luotiin oma testausympäristö, jossa testaus suoritettiin. Osa SQL-injektioista saattaa olla erittäin tuhoisia tietokannalle, joten on hyvä var-mistaa, että testausta ei tehdä käytössä olevaan web-sovellukseen.
Testauksesta saadut tulokset analysoitiin yhdeksi kokonaisuudeksi, jonka jälkeen web-sovellukseen tehtiin suojausehdotukset. Testauksesta saadut tulokset olivat hä-lyttävät tietoturvallisuuden kannalta ja tämän takia korjausehdotuksia web-sovellukseen tuli paljon. Tietokannasta saatiin helposti tulostettua taulujen tietoja ja sisäänkirjautuminen onnistui ilman salasanaa. Testaustapaa voidaan pitää tehokkaana sen kattavuuden takia ja sitä voidaan soveltaa myös muihin web-sovelluksiin.
Tutkimuksen tarkoitus oli tehdä mahdollisimman laaja testaus web-sovellukseen. Testauksen avulla voidaan löytää tietojärjestelmän mahdollisia haavoittuvuuksia. Testauksessa lähdetään liikkeelle testaussuunnitelmasta, joka on luotu SQL-injektiotekniikoiden sekä testaukseen liittyvän kirjallisuuden pohjalta.
Syy tutkielman tekemiseen on jatkuvasti lisääntyvät tietoturvauhat maailmalla. Sekä yritykset että yksityiset henkilöt käyttävät tietotekniikkaa hyväkseen jokapäiväisessä elämässään. Web-sovellukset pitävät usein sisällään käyttäjien henkilökohtaisia tieto-ja aina sähköpostiosoitteista luottokorttitietoihin. Suurin osa tietokannoista on myös koodattu SQL-tietokantakielellä, jonka takia SQL-injektiot ovat yksi suurimmista tietoturvauhkista tänä päivänä.
Tutkimuksen kirjallisuuskatsauksessa selvitetään hyökkäystekniikoita sekä hyökkä-yksiltä suojautumista. Tämän jälkeen tutkimukseen otetaan mukaan testauksen teo-ria, jonka avulla hyökkäystekniikat voidaan sitoa itse tutkielman testausosioon. Tes-tattavalle web-sovellukselle luotiin oma testausympäristö, jossa testaus suoritettiin. Osa SQL-injektioista saattaa olla erittäin tuhoisia tietokannalle, joten on hyvä var-mistaa, että testausta ei tehdä käytössä olevaan web-sovellukseen.
Testauksesta saadut tulokset analysoitiin yhdeksi kokonaisuudeksi, jonka jälkeen web-sovellukseen tehtiin suojausehdotukset. Testauksesta saadut tulokset olivat hä-lyttävät tietoturvallisuuden kannalta ja tämän takia korjausehdotuksia web-sovellukseen tuli paljon. Tietokannasta saatiin helposti tulostettua taulujen tietoja ja sisäänkirjautuminen onnistui ilman salasanaa. Testaustapaa voidaan pitää tehokkaana sen kattavuuden takia ja sitä voidaan soveltaa myös muihin web-sovelluksiin.