6533b7d0fe1ef96bd1259da0

RESEARCH PRODUCT

Drošības pārbaužu veikšana atbilstoši ASVS standartam

subject

description

Bakalaura darbā ir aprakstīta autora veiktā drošības pārbaude divām Latvijā izmantotām sistēmām. Sistēmu drošības pārbaudi darba autors veica atbilstoši drošības standarta ASVS prasībām. Ievainojamību atklāšanai tika pielietoti manuāli ielaušanās testi un automatizēti ievainojamību meklēšanas rīki. Papildus darbā ir veikta ASVS struktūras izpēte un analizētas standarta satura izmaiņas starp versijām. Prasību pārbaudes izpildi izdevās daļēji automatizēt, taču autors atklāja, ka automatizēto rīku sniegtie rezultāti bija neprecīzi, un iegūto rezultātu pielietošanai bija nepieciešama manuāla verifikācija. Autors uzskata, ka noderīgākie rīki pārbaudes veikšanā bija ZAP, sqlmap un “SSL server test”. Atbilstoši gūtajai pieredzei autors secina, ka sistēmu pārbaude atbilstoši ASVS prasībām bija izaicinoša, jo prasības nosedza lielu mērķa apgabalu. Veiktās drošības pārbaudes ietvaros autors noskaidroja, ka pārbaudītās sistēmas lielā mērā neatbilst ASVS izvirzītajiem kritērijiem. Pēc autora domām, ASVS palīdz drošības pārbaudes organizācijā, taču standarta prasības ir jāpielāgo sistēmām individuāli. Darba autors uzskata, ka pēc standarta prasību izpildes vien nevar korekti noteikt sistēmas apdraudējumu, jo netiek vērtēts prasību izpildes svarīgums un specifika. Darbā veiktās drošības pārbaudes rezultāti tika izmantoti, lai novērstu nopietnākās atklātās ievainojamības sistēmās.