OWASP WSTG standarta drošības testēšanas automatizācija

Abstract

Tīmekļa lietotnes drošības testēšana ir neatliekamais solis, lai pārbaudītu testējamās lietotnes uzticamību un nodrošināt lietotāju datu drošību. Drošības testēšanai galvenokārt ir divas pieejas: testēt lietotni manuāli un pašam meklēt un identificēt ievainojamības vai arī izmantot specializētu programmatūru, kura automātiski izpilda vairākus drošības testus un sagatavo atskaiti. Bakalaura darba mērķis ir noskaidrot, cik lielā mērā drošības testēšanu pēc OWASP WSTG standarta var automatizēt, kā arī analizēt automatizācijas priekšrocības un trūkumus. Vispirms tika izieta OWASP WSTG manuāla testēšana, apkopoti testēšanas rezultāti un iegūtas metrikas. Lai veiktu automatizēto testēšanu, tika izveidots rīks, kurš automātiski izpilda daļu no OWASP WSTG testiem, kā arī apkopo to rezultātus un izveido detalizētu atskaiti par atrastajām ievainojamībām. Papildus tam, lai iegūtu pilnīgu priekšstatu par automatizētas testēšanas iespējām, tika apskatīts eksistējošs risinājums, kurš automatizē testēšanas procesu. Izvēlētais rīks un tā rezultāti tika salīdzināti ar izveidotu rīku, kas palīdzēja noteikt katra rīka stiprās un vājās puses, kā arī palīdzēja nodefinēt katra rīka lietošanas gadījumus. Tālāk katram WSTG modulim tika analizēta drošības testēšanas automatizācijas lietderība un aktualitāte, lai noskaidrotu, kuros gadījumos automatizēta testēšanas pieeja ir efektīvāka par manuālo testēšanu, un darba beigās tika iegūta kombinēta pieeja, kura satur labākos aspektus no manuālās un automatizētās testēšanas.

Web application security testing is an urgent step to verify the reliability of the application under test and ensure the security of user data. There are two main approaches to security testing: test the application manually and search for and identify vulnerabilities yourself, or use specialised software that automatically runs several security tests and prepares a report. The bachelor's thesis aims to find out to what extent security testing according to the OWASP WSTG standard can be automated, as well as to analyse the advantages and disadvantages of automation. First, OWASP WSTG manual testing was performed, test results were collected, and metrics were obtained. To perform automated testing, a tool was created that automatically executes part of the OWASP WSTG tests, collects their results, and creates a detailed report on the vulnerabilities found. In addition, an existing solution that automates the testing process was reviewed to get a complete picture of the possibilities of automated testing. The selected tool and its results were compared with a created tool, which helped identify strengths and weaknesses of each tool, as well as define the use cases of each tool. Next, the usefulness and relevance of security testing automation were analysed for each WSTG module to find out in which cases an automated testing approach is more effective than manual testing, and at the end of the work, a combined approach was obtained, which contains the best aspects of manual and automated testing.