Säkerhetstestning av webbapplikationer och CMS plattformen EPiServer

Ignatius, Per

January 2011

Arbetet behandlar säkerhetstestning av webbapplikationer och CMS plattformen EPiServer. För att Know IT Dalarna ska kunna fortsätta leverera säkra webblösningar efterfrågar de en säkerhetsanalys över plattformen EPiServer men även över sina egenutvecklade applikationer. Syftet med arbetet var att höja säkerheten kring Know ITs webbaserade projekt och samtidigt göra utvecklarna mer medvetna om säkerheten vid utvecklingsfasen. Resultatet var att EPiServer som plattformen tillhandahåller en fullgod säkerhet. De direkta brister som identifierades var upp till antingen Know IT eller kunden att åtgärda och ansvaret lades på den som hade hand om driften av webbplatsen. Säkerhetstesterna som utfördes var bland annat tester emot åtkomsthantering, avlyssningsattacker, lösenordsattacker, SQL-injections och XSS-attacker.För att förenkla säkerhetstestningen skapades en checklista innehållandes steg för steg för att göra en grundläggande säkerhetstestning. Den innehöll även rekommendationer till Know IT Dalarna på områden som ska belysas och undersökas i framtiden. Checklistan kan användas av utvecklarna för att säkerställa att ett pågående projekt håller en bra nivå säkerhetsmässigt. Listan måste i framtiden uppdateras och hållas i fas med den ständiga tekniska utvecklingen som sker på området.

EPiServer

Web applikationer

XSS attacker

SQL-Injections

bruteforce attacker

åtkomsthantering

sessionhijacking

Identitets- och åtkomsthantering hos Karlstads kommun : En intervjustudie bland IT-personal / Identity and access management at Karlstads municipality : An interview study among IT staff

Andersson, Maria

January 2018

Identitets- och åtkomsthantering innebär att hantera systemanvändares identiteter och deras åtkomst till olika system. För att kontrollera att en identitet är den som den utger sig för att vara och tilldela rätt åtkomst utefter detta används autentisering och auktorisering. Karlstads kommun genomförde nyligen ett projekt med syftet att modernisera den dåvarande plattformen som hanterade kommunens användarkonton och öka automationen på ett säkert och effektivt sätt. I denna uppsats har kommunens arbete med identitets- och åtkomsthantering undersökts för att ta reda på hur de arbetar med identiteter och åtkomst och om projektet har bidragit med nytta som de anställda kan gagnas av. För att ta reda på detta har fyra intervjuer genomförts med involverade i projektet på Karlstads kommuns IT-avdelning samt tre personer i olika verksamheter i kommunen för att få både projektdeltagarnas och verksamheternas uppfattning. Resultatet av intervjuerna visar att projektet har resulterat i en uppdaterad plattform som bidrar med ett antal nya funktioner. Bland annat användarkonton som skapas automatiskt, förenklad inloggning med tillgång till fler resurser och möjlighet till flera engagemang till samma konto om en användare till exempel både är anställd och elev i kommunen. Slutsatsen för denna undersökning är att plattformen har skapat många nya möjligheter och att mer funktionalitet kommer i framtiden. Arbetet har förändrats för enstaka anställda men de flesta märker ingen större skillnad ännu.

IAM

identitet

åtkomst

personuppgifter

GDPR

rollhantering

identitets- och åtkomsthantering

Information Systems

Drivande faktorer inom identitets- och åtkomsthantering i offentliga och privata organisationer / Driving factors in identity and access management in public and private organizations

Perlerot, Matilda, Vanjhal, Viktoria

January 2023

Vem ska ha åtkomst och vem skall ha åtkomst till vad? Identitets- och åtkomsthantering (IAM) hjälper organisationer med att hantera systemanvändare under deras livscykel till systemen inom verksamheten. Det finns flera olika faktorer som är den drivande faktorn till varför de har IAM-lösningar. Under denna uppsats kommer det att undersökas vad som är de drivande faktorer för en organisation till att ha IAM-lösningar och ifall det skiljer sig något åt mellan privat och offentlig organisation. För att ta reda på det så har sex intervjuer genomförts från tre olika verksamheter, en privat och två offentliga. Intervjuerna har skett med två personer från varje organisation med olika roller inom IAM-området för att få en djup förståelse om vad som är just den organisationens drivande faktor. Det som undersökningen resulterade i är att de drivande faktorerna inte skiljer något större åt när organisationen jämförs mellan privat och offentlig. Den drivande faktorn var huvudsakligen att förbättra IT-säkerheten inom organisationen med hjälp av IAM. Men de flesta drevs inte bara av en faktor utan en kombination av flera. Slutsatsen av undersökningen är att den drivande faktorn beror på vilken bransch organisationen tillhör samt storleken på antalet användare i deras system, inte om den tillhör privat eller offentlig organisation. / Who should have access and who should have access to what? Identity and access management (IAM) helps organizations manage system users throughout their lifecycle to the systems within the business. There are several different factors that are the driving factor why they have IAM solutions. During this essay, it will examine what are the driving factors for an organization to have IAM solutions and if there is any difference between private and public organizations. To find out, six interviews have been conducted from three different businesses, one private and two public. The interviews have taken place with two people from each organization with different roles within the IAM area in order to gain a deep understanding of what is that particular organization's driving factor. What the survey resulted in is that the driving factors do not differ much when the organization is compared between private and public. The driving factor was mainly to improve IT security within the organization using IAM. However, most were driven not by just one factor but by a combination of several. The conclusion of the survey is that the driving factor depends on the industry the organization belongs to and the size of the number of users in their system, not whether it belongs to a private or public organization.

IAM

identity

access

access management

identity management

information security

IAM

identitet

åtkomst

åtkomsthantering

identitetshantering

informationssäkerhet

Information Systems