| ... | ... | @@ -12,6 +12,7 @@ |
|
|
|
| RIS08 | Määrittelyt eivät vastaa loppukäyttäjien tarpeita | 5 | 3 | 15 | Loppukäyttäjien tarpeita arvioidaan projektin eri vaiheissa | Määritellään uudestaan tarkemmin käyttäjiä kuunnellen |
|
|
|
|
| RIS09 | Määritystyössä ei huomioida olemassa olevaa toimintaympäristöä | 4 | 3 | 12 | Keskustellaan aiheesta sidosryhmien kanssa projektin eri vaiheissa | Tilanne arvioidaan ja ristiriitaiset määritykset poistetaan |
|
|
|
|
| RIS10 | Määritystyötä ei vaiheisteta tehokkaasti | 2 | 2 | 4 | Issue trackeriä käytetään aktiivisesti | Siistitään tracker sellaiseen kuntoon, että siitä saa uudestaan hyvän otteen |
|
|
|
|
| RIS10 | Kaikki ryhmän jäsenet sairastuvat | 5 | 1 | 5 | Pestään kädet | Ilmoitetaan asiakkaalle uhkaavasta katastrofista |
|
|
|
|
|
|
|
|
### Vakauvuusluokkien kuvaukset
|
|
|
|
|
| ... | ... | @@ -33,3 +34,34 @@ |
|
|
|
| 4 | Todennäköinen | |
|
|
|
|
| 5 | Lähes varma | |
|
|
|
|
```
|
|
|
|
|
|
|
|
#### Riskit
|
|
|
|
|
|
|
|
| ID | Aiheuttaja | Kuvaus | Linkki |
|
|
|
|
|:-:|:-:|:-:|:-:|
|
|
|
|
| RID001 | Tietokanta | Tietokantaan pääsee käsiksi oletuskäyttäjätunnuksilla | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID002 | Formit | Käyttäjät voivat väärinkäyttää formien kenttiä SQL-injektioon | https://www.owasp.org/index.php/Top_10_2013-A1-Injection |
|
|
|
|
| RID003 | Formit | Käyttäjät voivat väärinkäyttää formien XSS-hyökkäykseen | https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS) |
|
|
|
|
| RID004 | Sessionhallinta | Yksityisiksi tarkoitettuja sessiotietoja näkyy URLissa | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID005 | Sessionhallinta | Sessio ei pääty kun käyttäjä kirjautuu ulos | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID006 | Sessionhallinta | Sessio ei pääty tietyn ajan kuluttua automaattisesti | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID007 | Salasanan tallennus | Hashaamatön salasana tallentuu sessiodataan, näkyy URLissa tai tallennetaan yhtään mihinkään | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID008 | Serveri | Palvelimessa oletuksena esimerkkinä olevat asetukset jäävät voimaan sellaisinaan | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID009 | Serveri | Kansioiden listausta ei ole otettu pois käytöstä ja hyökkääjä voi selata tiedostoja vapaasti | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID010 | SSL | Palvelu ei käytä suojattua yhteyttyä kaikkialla | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID011 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee sivuille joihin hänellä ei ole oikeuksia menemällä sivulle, jolle hänen ei pitäisi päästä, mutta häntä ei estetä avaamasta sitä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID012 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee käsiksi ominaisuuteen muokkaamalla toimintaan vaikuttavaa parametriä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID013 | Valmiit kompotentit | Projektissa käytetään valmiita komponentteja, joissa on tunnettuja haavoittuvuuksia | https://www.owasp.org/index.php/Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities |
|
|
|
|
| RID014 | Uudelleenohjaus | Uudelleenohjauksissa käytetään käyttäjiltä saatavia parametreja | https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards |
|
|
|
|
|
|
|
|
#### Testikohteet
|
|
|
|
|
|
|
|
| ID | Aiheuttaja | Kuvaus | Linkki |
|
|
|
|
|:-:|:-:|:-:|:-:|
|
|
|
|
| TID001 | TV001 | Toimiiko palvelu vain asianmukaisilla tunnuksilla | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID002 | TV002 | Ulkoiseen käyttöön luotu avain toimii ja on kertakäyttöinen | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID003 | TV003 | Palvelu hakee opiskelijan juuri hänen suorittamansa kurssit oikein | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID004 | TV005 | Voiko kyselyyn vastata vain kerran | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID005 | TV006 | Laskeeko palvelu opintopisteiden määrän oikein | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID006 | TV007 | Valitseeko palvelu opiskelijalle oikeasti pakolliset opinnot | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID007 | TV008 | Voivatko käyttäjät vaihtaa vastaustaan vain kerran lukuvuodessa | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements | |
