iSerlo Web Protector

Oversikt

iSerlo Web Protector er en samtykkebasert prototype for webbasert sikkerhetsskanning og rapportering, bygget som et bachelorprosjekt. Løsningen utforsker hvordan nettstedseiere kan registrere nettsider, starte skanninger, se funn og forstå resultatene gjennom tydeligere rapporter.

Prosjektet er ikke presentert som et ferdig kommersielt produkt. Det viser heller praktisk arbeid med applikasjonsutvikling, sikkerhetsflyt, rapportering, tilgangskontroll og ansvarlig håndtering av skannemål.

Problem

Små og mellomstore virksomheter har ofte begrenset tilgang til dedikert sikkerhetskompetanse. Samtidig kan rå output fra sårbarhetsskannere være vanskelig å tolke for personer som ikke jobber teknisk med sikkerhet til daglig.

iSerlo ble bygget for å utforske hvordan slike resultater kan struktureres, forklares og presenteres på en måte som gjør funn mer forståelige uten å overdrive risiko eller late som en prototype er en komplett sikkerhetstjeneste.

Min rolle

Jeg arbeidet med sentral applikasjonsfunksjonalitet, sikkerhetsfokuserte brukerflyter, rapportering, konto- og nettsidestruktur, administrasjonsfunksjonalitet, skannesikkerhet, testing og dokumentasjon.

Rollen handlet både om å bygge fungerende Laravel-funksjonalitet og å ta praktiske valg rundt hvordan sikkerhetsskanning bør avgrenses, forklares og presenteres på en ansvarlig måte.

Implementation

Teknisk implementasjon

Applikasjonen ble strukturert som en Laravel-løsning med databasebasert funksjonalitet, Blade-visninger og egne flyter for kontoer, nettsider, skanninger, rapporter og administrasjon.

Målet var å lage en produktlignende prototype som kunne demonstrere hele reisen fra registrering av nettsted til rapport og oppfølging, uten å gjøre løsningen mer omfattende enn bachelorprosjektets rammer tillot.

• Bruker- og kontostruktur for private og virksomhetsrelaterte kontoer.
• Nettsideregistrering som grunnlag for samtykkebasert skanning.
• Flyt for å opprette skanninger og knytte resultater til riktig nettsted.
• Rapportgenerering med fokus på tydelige funn, alvorlighet og anbefalte tiltak.
• Planbasert tilgang for å utforske hvordan funksjonalitet kan avgrenses.
• Adminpanel for oversikt, styring og evaluering av systemflyter.
• Database-backed modeller for kontoer, nettsider, planer, skanninger og rapporter.
• Jobb-/kø-orientert tenkning rundt tyngre prosesser som skanning og rapportering.

Security

Sikkerhetsvurderinger

Et viktig premiss var at skanning må behandles som en sensitiv funksjon. iSerlo ble derfor tenkt som en samtykkebasert løsning der brukeren må ha rett til å skanne målet, og der skanneflyten må avgrenses for å unngå utrygg eller uetisk bruk.

Passiv eller forsiktig skanning passer best som standard i en slik prototype. Mer aktiv testing bør behandles kontrollert, ikke som normal ukritisk sluttbrukeratferd.

• Skanning skal være knyttet til registrerte og autoriserte mål.
• Målvalidering og sikkerhetssjekker skal redusere risiko for interne eller utrygge targets.
• Rapporter bør kommunisere funn etisk og uten overdrevne risikopåstander.
• Aktiv skanning må behandles med tydelige begrensninger og ansvarlig kontroll.

Rapportering og kommunikasjon

En viktig del av prosjektet var å gjøre tekniske funn lettere å forstå. I stedet for å bare vise rå scanner-output, skulle rapportene gi tydeligere alvorlighetsgrad, forklaring og anbefalte tiltak.

Rapportflyten la opp til eksport og deling, inkludert PDF- og e-postorientert rapportlevering der det var relevant. Hensikten var å gjøre funn mer anvendelige for eiere, utviklere eller beslutningstakere som trenger et tydelig sammendrag.

Utfordringer

Prosjektet hadde flere realistiske avveininger. Den største var å balansere teknisk scanner-informasjon med rapporter som faktisk er lesbare for ikke-spesialister.

• Holde scope håndterbart for en bachelorprototype.
• Unngå skanneflyter som kan misbrukes eller treffe uautoriserte mål.
• Strukturere kontoer, planer og nettsider på en ryddig måte.
• Få brukergrensesnittet til å føles produktnært uten å overclaim'e modenhet.

Hva jeg lærte

iSerlo ga praktisk erfaring med å bygge en større Laravel-applikasjon der sikkerhetsflyt, rapportering og brukerstruktur må fungere sammen.

• Laravel systemdesign og strukturering av databasebasert funksjonalitet.
• Sikkerhetstesting som produktflyt, ikke bare enkeltstående teknisk skanning.
• Skannesikkerhet, etikk og behovet for tydelig autorisasjon.
• Teknisk kommunikasjon gjennom rapporter, alvorlighet og anbefalte tiltak.
• Testing, evaluering og arbeid innenfor realistisk prosjektscope.

Resultat

Prosjektet demonstrerer praktisk erfaring med webapplikasjonsutvikling, sikkerhetstestingskonsepter, rapportering, tilgangskontroll, administrasjonsflyter og etisk/security-aware design.

Som case study viser iSerlo hvordan jeg arbeider med å kombinere utvikling og cybersikkerhet: bygge fungerende systemer, vurdere risiko, avgrense funksjonalitet og kommunisere tekniske funn tydelig.