| ... | ... | @@ -264,22 +264,9 @@ ER-kaavio |
|
|
|
|
|
|
|
#### Riskit
|
|
|
|
|
|
|
|
| ID | Aiheuttaja | Kuvaus | Linkki |
|
|
|
|
|:-:|:-:|:-:|:-:|
|
|
|
|
| RID001 | Tietokanta | Tietokantaan pääsee käsiksi oletuskäyttäjätunnuksilla | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID002 | Formit | Käyttäjät voivat väärinkäyttää formien kenttiä SQL-injektioon | https://www.owasp.org/index.php/Top_10_2013-A1-Injection |
|
|
|
|
| RID003 | Formit | Käyttäjät voivat väärinkäyttää formien XSS-hyökkäykseen | https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS) |
|
|
|
|
| RID004 | Sessionhallinta | Yksityisiksi tarkoitettuja sessiotietoja näkyy URLissa | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID005 | Sessionhallinta | Sessio ei pääty kun käyttäjä kirjautuu ulos | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID006 | Sessionhallinta | Sessio ei pääty tietyn ajan kuluttua automaattisesti | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID007 | Salasanan tallennus | Hashaamatön salasana tallentuu sessiodataan, näkyy URLissa tai tallennetaan yhtään mihinkään | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID008 | Serveri | Palvelimessa oletuksena esimerkkinä olevat asetukset jäävät voimaan sellaisinaan | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID009 | Serveri | Kansioiden listausta ei ole otettu pois käytöstä ja hyökkääjä voi selata tiedostoja vapaasti | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID010 | SSL | Palvelu ei käytä suojattua yhteyttyä kaikkialla | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID011 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee sivuille joihin hänellä ei ole oikeuksia menemällä sivulle, jolle hänen ei pitäisi päästä, mutta häntä ei estetä avaamasta sitä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID012 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee käsiksi ominaisuuteen muokkaamalla toimintaan vaikuttavaa parametriä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID013 | Valmiit kompotentit | Projektissa käytetään valmiita komponentteja, joissa on tunnettuja haavoittuvuuksia | https://www.owasp.org/index.php/Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities |
|
|
|
|
| RID014 | Uudelleenohjaus | Uudelleenohjauksissa käytetään käyttäjiltä saatavia parametreja | https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards |
|
|
|
|
Projektin riskit löytyvät riskien hallintasuunnitelmasta.
|
|
|
|
|
|
|
|
[Riskien hallintasuunnitelma](https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Riskien-hallintasuunnitelma)
|
|
|
|
|
|
|
|
#### Testikohteet
|
|
|
|
|
| ... | ... | |
| ... | ... | |
