| ... | ... | @@ -245,20 +245,36 @@ ER-kaavio |
|
|
|
* Riski -> Testaustarve
|
|
|
|
* Vaatimus -> Testaustarve
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
### Dokumentit, standardit ja lähteet
|
|
|
|
|
|
|
|
|
|
|
|
#### Riskit
|
|
|
|
|
|
|
|
|
|
|
|
*Lähteet*
|
|
|
|
|
|
|
|
| ID | Lähde | Kuvaus | Linkki |
|
|
|
|
| ID | Aiheuttaja | Kuvaus | Linkki |
|
|
|
|
|:-:|:-:|:-:|:-:|
|
|
|
|
| RID001 | Tietokanta | Tietokantaan pääsee käsiksi oletuskäyttäjätunnuksilla | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID002 | Formit | Käyttäjät voivat väärinkäyttää formien kenttiä SQL-injektioon | https://www.owasp.org/index.php/Top_10_2013-A1-Injection |
|
|
|
|
| RID003 | Formit | Käyttäjät voivat väärinkäyttää formien XSS-hyökkäykseen | https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS) |
|
|
|
|
| RID004 | Sessionhallinta | Yksityisiksi tarkoitettuja sessiotietoja näkyy URLissa | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID005 | Sessionhallinta | Sessio ei pääty kun käyttäjä kirjautuu ulos | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID006 | Sessionhallinta | Sessio ei pääty tietyn ajan kuluttua automaattisesti | https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management |
|
|
|
|
| RID007 | Salasanan tallennus | Hashaamatön salasana tallentuu sessiodataan, näkyy URLissa tai tallennetaan yhtään mihinkään | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID008 | Serveri | Palvelimessa oletuksena esimerkkinä olevat asetukset jäävät voimaan sellaisinaan | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID009 | Serveri | Kansioiden listausta ei ole otettu pois käytöstä ja hyökkääjä voi selata tiedostoja vapaasti | https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration |
|
|
|
|
| RID010 | SSL | Palvelu ei käytä suojattua yhteyttyä kaikkialla | https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure |
|
|
|
|
| RID011 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee sivuille joihin hänellä ei ole oikeuksia menemällä sivulle, jolle hänen ei pitäisi päästä, mutta häntä ei estetä avaamasta sitä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID012 | Käyttäjäoikeuksien valvonta | Hyökkääjä pääsee käsiksi ominaisuuteen muokkaamalla toimintaan vaikuttavaa parametriä | https://www.owasp.org/index.php/Top_10_2013-A7-Missing_Function_Level_Access_Control |
|
|
|
|
| RID013 | Valmiit kompotentit | Projektissa käytetään valmiita komponentteja, joissa on tunnettuja haavoittuvuuksia | https://www.owasp.org/index.php/Top_10_2013-A9-Using_Components_with_Known_Vulnerabilities |
|
|
|
|
| RID014 | Uudelleenohjaus | Uudelleenohjauksissa käytetään käyttäjiltä saatavia parametreja | https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards |
|
|
|
|
|
|
|
|
#### Testikohteet
|
|
|
|
|
|
|
|
| ID | Aiheuttaja | Kuvaus | Linkki |
|
|
|
|
|:-:|:-:|:-:|:-:|
|
|
|
|
| Id0 | Wikipedia | Vaatimusmäärittely | https://fi.wikipedia.org/wiki/Ohjelmiston_vaatimusm%C3%A4%C3%A4rittely
|
|
|
|
- |
|
|
|
|
| - | - | - |
|
|
|
|
| - | - | - |
|
|
|
|
| - | - | - |
|
|
|
|
``` |
|
|
\ No newline at end of file |
|
|
|
| TID001 | TV001 | Toimiiko palvelu vain asianmukaisilla tunnuksilla | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID002 | TV002 | Ulkoiseen käyttöön luotu avain toimii ja on kertakäyttöinen | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID003 | TV003 | Palvelu hakee opiskelijan juuri hänen suorittamansa kurssit oikein | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID004 | TV005 | Voiko kyselyyn vastata vain kerran | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID005 | TV006 | Laskeeko palvelu opintopisteiden määrän oikein | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID006 | TV007 | Valitseeko palvelu opiskelijalle oikeasti pakolliset opinnot | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements |
|
|
|
|
| TID007 | TV008 | Voivatko käyttäjät vaihtaa vastaustaan vain kerran lukuvuodessa | https://gitlab.labranet.jamk.fi/PRJTEAM-H/halinallet/wikis/Vaatimusmaaritelma#palveluun-liittyv%C3%A4t-toiminnalliset-vaatimukset-functional-requirements | |
