VP plavormil peetavaid veebilehti monitooritakse pidevalt mh teostatakse neile ka uute funktsionaalsuste lisamistel automaatseid turvatestimisi.
Sellegi poolest on tarvis aeg-ajalt tellida põhjalikku turvatestimist, mille raames viiakse läbi testid pädeva partneri poolt nö "Pen-testing" formaadis (teste teostab inimene). Selliste turvatestimiste vajaduse tingib näiteks suurem sisuhaldusraamistiku versiooniuuendus (Drupal 8 - > Drupal 9). Osaline "Pen-testing" tuleb läbi viia funktsionalasust oluliselt täiendavatele moodulitele, mis on asutuste poolt tellitud VP-le tellitud
Viimati viidu suurem turvatestimine läbi 2021 aasta alguses, kui toimusid ka esimeste VP veebide avalikud kasutuselevõtud.
Turvatestimisel võetakse aluseks
- Käesolev keskkond, selle ülesehitus ja kirjeldused (sisutüübid, komponendid ja nendega kaasuvad baasfunkstionaalsued)
- Valik- ja Erimoodulite testimised, mis on kirjeldatud "Täiendavad moodulid" artiklis.
Kuidas turvateste läbi viiakse?
-
Demo lehel aktiveeritakse funkstionaalsus
-
Demo lehele lisatakse kirjeldused
-
Demo lehest luuakse eraldiseisev koopia
-
Turvatestimine
-
RAPORT
Turvatestimine mai 2023, kodustestimine teostatakse august 2023
2023 aastal teostatud turvatestide raames testiti platvormi Drupal 10 versiooni.
Tulem: Turvatestimise käigus tuvastati 0 kriitilise, 0 kõrge, 1 keskmise, 8 madala ja 13 informatiivse tähtsusega üldist leidu.
Keskmise tähtsusega leiuna toodi välja, et HTTP päringute arv ühe kasutaja (IP) kohta ei ole piiratud. Antud leid kuulub parandamisele ent leiu kriitilisust leevendab enamus saitidel rakendatud CloudFlare teenus.
Madala tähtsusega leidudena toodi välja administreerimise liideses nähtavad ja muudetavad seadistused. Näiteks: autentimisteenuse salasõna muutmise ja logide kustutamise võimalus. Antud leiud kuuluvad parandamisele ent leidude kriitilisust leevendab admin rollis olevate kasutajate vähesus ning see, et logid edastatakse kesksesse logihoidlasse ehk rakenduses logide eemaldamine ei eemalda neid lõplikult. Täiendavalt toodi välja leiuna üksiku kontakti importimise lahendus, mis ei toiminud testimisel ootuspäraselt. Antud leid on edastatud parandamiseks arenduspartnerile. Madala tasemega leiuna toodi välja veel paar skriptidega seotud tähelepanekut, mis kuuluvad samuti lahendamisele.
Informatiivse tähtsusega leidudest toodi välja drupali administreerimis liidesega seotud tähelepanekud, kuidas saaks keskkondi veelgi turvalisemaks muuta. Antud leiusid leevendab asjaolu, et VP sisuhaldus keskkonnad on IP piiranguga ja logimine toimub TARA autentimisega. Kõik informatiived tähelepanekud vaadatakse ennem kordustestimist üle.
2023 aastal teostati esmakordselt turvatestid ka Drupal 10 versiooniga staatilisele lahendusele.
Tulem: Turvatestimise käigus tuvastati 0 kriitilise, 0 kõrge, 2 keskmise, 7 madala ja 11 informatiivse tähtsusega üldist leidu.
Keskmise tähtsusega leiud on seotud veebivormi mikroteenusega, mille alusel soovitati reegleid rangemaks määrata. Antud leiud kuuluvad parandamise ent nende olulisust leevendab enamus saitidel rakendatud CloudFlare teenus.
Madala tähtsusega leidudest toodi välja tähelepanekud seoses HTTP päistega, mis kuuluvad parandamisele. Lisaks tehti tähelepanekud veebivormi mikroteenuse ja uudiskirja toimimise kohta, mis testitakse üle veelkord RMITi poolt ja suunatakse parandamisele.
Informatiivse tähtsusega leidudest toodi välja tähelepanekud HTTP päiste ja määratud CSP reeglite osas. Antud leiud on RMIT poolt ülevaatusel.
Turvatestimine mai 2022, järelturvatestimine juuli 2022
Turvatestitakse VP platvormi üldiselt, kuna platvormi baasversioon on uuenenud Drupal 8 -> Drupal 9
Viide funkstionaalsusele "käesolev keskkond"
Tulem: Turvatestimise käigus tuvastati 0 kriitilise, 4 kõrge, 6 keskmise, 10 madala ja 3 informatiivse tähtsusega üldist leidu.
Kõrge tähtsusega leidudest parandati kordustestide teostamise eel 2 leidu, mis olid seotud PHP info väljundi nägemisega ja üleslaetavate failide seadistuse tegemise võimalusega admin rollis. 2 kõrge tähtsusega leidu, mis olid seotud administreerimisliidesega on riskide ümberhindamisel, sest tänaseks on riskid maandatud prelive'le IP piirangute seadmise ja kahe domeeni kasutusele võtmisega.
Keskmise tähtsusega leidudest parandati kordustestide teostamise eel 2 leidu, mis olid seotud PHP info väljundi ja Nextcloudi integratsiooniga. 4 keskmise taseme leiu riskid on hetkel aktsepteeritud, sest probleemid lahenevad ära staatilise lahenduse kasutusele võtmisega. Aktsepteeritud riskide sekka kuuluvad üldised tähelepanekud meedia jaoks kasutatava Nextcloudi, Full HTML sisutüübi ja Drupali raamistiku kasutamisel.
Madala tähtsusega leidudest parandati 4 leidu, mis olid seotud sisu importimise, zip failide üleslaadimise PHP konfiguratsiooni ja rakenduse skriptidega. 1 autentimisega seotud risk aktsepteeriti seoses keycloak lahenduse rakendamisega ning 5 failide üleslaadimise ning HTTP päistega seotud leidu aktsepteeriti seoses staatilisele lahendusele kolimisega.
Informatiivse tähtsusega leidudest toodi välja tähelepanekud seoses HTTP päistega.
Moodulit on 2021 aasta testitud, kuid sellele on lisatud täiendusi/parandusi.
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Näidis asub keskkonna avaliku vaate urlil /kontakt
Tulem: Turvatestimise käigus ei tuvastatud SAP kontaktimooduli funktsionaalsustes puudusi.
Keskmise tähtsusega leiuna toodi välja "SAP töötaja import" funktsionaalsuse mittetoimimine. Antud funktsionaalsus arendati VP 2.0 sünni alguses telefoniraamatu liidestuse jaoks ning selle mittetoimimine on ootuspärane.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Moodulit on 2021 aasta testitud, kuid sellele on lisatud täiendusi/parandusi.
Tulem: Turvatestimise käigus toodi välja madala tähtsusega leid seoses andmete impordi allikana kasutatava URLi valideerimine.
Leid parandati ning kordustestide tulemuse käigus hinnati informatiivse tähtsusega tähelepanekuks.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Moodulit on 2021 aasta testitud, kuid sellele on lisatud täiendusi/parandusi.
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Moodulit on 2021 aasta testitud, kuid sellele on lisatud täiendusi/parandusi.
Näidis asub keskkonna avaliku vaates kõikide artiklite jaluses sektsioonid "Kas sellest lehest oli abi" - JAH/EI
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Näidisartikkel TEHA
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Ei testitud.
Uus moodul, mida ei ole veel turvatestitud
Tulem: Turvatestimise käigus puudusi ei tuvastatud.
Viimati uuendatud 31.05.2023
