Drošības pārbaužu veikšana atbilstoši ASVS standartam

Elksnis, Reinis

View/Open

302-54334-Elksnis_Reinis_re11003.pdf (1.483Mb)

Author

Elksnis, Reinis

Co-author

Latvijas Universitāte. Datorikas fakultāte

Advisor

Trukšāns, Leo

Date

2016

Metadata

Show full item record

Abstract

Bakalaura darbā ir aprakstīta autora veiktā drošības pārbaude divām Latvijā izmantotām sistēmām. Sistēmu drošības pārbaudi darba autors veica atbilstoši drošības standarta ASVS prasībām. Ievainojamību atklāšanai tika pielietoti manuāli ielaušanās testi un automatizēti ievainojamību meklēšanas rīki. Papildus darbā ir veikta ASVS struktūras izpēte un analizētas standarta satura izmaiņas starp versijām. Prasību pārbaudes izpildi izdevās daļēji automatizēt, taču autors atklāja, ka automatizēto rīku sniegtie rezultāti bija neprecīzi, un iegūto rezultātu pielietošanai bija nepieciešama manuāla verifikācija. Autors uzskata, ka noderīgākie rīki pārbaudes veikšanā bija ZAP, sqlmap un “SSL server test”. Atbilstoši gūtajai pieredzei autors secina, ka sistēmu pārbaude atbilstoši ASVS prasībām bija izaicinoša, jo prasības nosedza lielu mērķa apgabalu. Veiktās drošības pārbaudes ietvaros autors noskaidroja, ka pārbaudītās sistēmas lielā mērā neatbilst ASVS izvirzītajiem kritērijiem. Pēc autora domām, ASVS palīdz drošības pārbaudes organizācijā, taču standarta prasības ir jāpielāgo sistēmām individuāli. Darba autors uzskata, ka pēc standarta prasību izpildes vien nevar korekti noteikt sistēmas apdraudējumu, jo netiek vērtēts prasību izpildes svarīgums un specifika. Darbā veiktās drošības pārbaudes rezultāti tika izmantoti, lai novērstu nopietnākās atklātās ievainojamības sistēmās.

Conducting security tests according to standard ASVS In this work author has described planning and results of security test that he conducted on two systems used in Latvia. Security test that the author conducted was made according to security standard ASVS. Both manual penetration tests and automated security assessment tools were used to detect software vulnerabilities. Additionally, in this work the author has analyzed ASVS structure and compared content changes between standard’s major versions. The author managed to automate some requirement tests, however the author found the results of automated tools to be unreliable and conducted manual verification checks of the results. According to the author, the most useful security tools were: ZAP, sqlmap and “SSL server test”. Author of this work concludes that the security test was challenging and time consuming, because ASVS requirements encompass a large field of verification. By conducting the security tests the author concludes that both tested systems did not fulfill the requirements set by security standard ASVS by a large margin. The author believes that ASVS assists in security testing, however standard’s requirements have to be adjusted to the individual system. The author believes that passed or failed security requirements of ASVS do not adequately represent the general security status of the system. The results of this work were used to correct the main security vulnerabilities of the tested systems.

URI

https://dspace.lu.lv/dspace/handle/7/32243

Collections

Bakalaura un maģistra darbi (EZTF) / Bachelor's and Master's theses [5688]