Third party mededeling

Vergelijkbare documenten
Third party mededeling

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Security web services

ISSX, Experts in IT Security. Wat is een penetratietest?

Inhoud leereenheid 2. Software vulnerabilities. Introductie 23. Leerkern 23. Terugkoppeling 26

Deny nothing. Doubt everything.

Back to the Future. Marinus Kuivenhoven Sogeti

Security assessments. het voor- en natraject. David Vaartjes

Je website (nog beter) beveiligen met HTTP-Security Headers

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Zest Application Professionals Training &Workshops

OMSCHRIJVING. Opleiding IT PRO

INHOUDSOPGAVE Het Boekenwinkeltje Registreer.aspx Opgaven... 97

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9)

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

SLA level Iron Bronze Silver Gold Platinum

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Instellen en gebruiken van LDAP met Active Directory

Insecurities within automatic update systems

IAAS HANDLEIDING - SOPHOS FIREWALL

Certified Ethical Hacker v9 (CEH v9)

3254,90 incl. BTW OMSCHRIJVING PROGRAMMA. Opleiding IT PRO

2690,00 excl. BTW. Belangrijk: Deelnemers dienen zelf een laptop mee te brengen voor de hands-on icloud-lab-oefeningen. #120466

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Deny nothing. Doubt everything.

Webapplication Security

Standard Parts Installatie Solid Edge ST3

Secure Software Alliance

Veilig samenwerken. November 2010

What is the advantage of using expression language instead of JSP scriptlets and JSP expressions?

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA

De Enterprise Security Architectuur

Absentie Presentie Server Migratie

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

En nu gaan leren Brenno de Winter

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica

Communications and Networking: An Introduction

Security Testing. Omdat elk systeem anderis

Zelftest Java EE Architectuur

Uw bedrijf beschermd tegen cybercriminaliteit

F5 NETWORKS Good, Better & Best. Nick Stokmans Account Manager

IBM i Security. Common Nederland april

Het Sebyde aanbod. Secure By Design

Overheidsservicebus met volledige Digikoppeling connectiviteit. Foutberichten en foutafhandeling

Het bouwen van veilige mobiele applicaties in agile teams. Wat is er nodig om niet de krantenkoppen te halen?

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

Filr. Sebastiaan Veld Anthony Priestman. 10 april Overview en business case

Document. Name: Systemhound 2007 Getting started guide. Created: Roel van Baaren Raxco Software 7 April Revisions:

Paphos Group Risk & Security Mobile App Security Testing

Joomla & Security. Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007

Aandachtspunten voor installatie suse in vmware server

Disaster Recovery uit de Cloud

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

SWAT PRODUCT BROCHURE

Sebyde AppScan Reseller. 7 Januari 2014

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

Online SEO-CHECKLIST. Switch Reclamebureau bv I Rendementsweg 2-Q I Mijdrecht I I

Bescherming van (software) IP bij uitbesteding van productie

eid Routeringsvoorziening OpenID Connect

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 4 UITGAANDE VERBINDINGEN 5 INSTALLATIE IMUISONLINE.MSI 5 SSL CERTIFICAAT 5

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 3 UITGAANDE VERBINDINGEN 4 INSTALLATIE IMUISONLINE.MSI 4 SSL CERTIFICAAT 4

xxter Mobotix T24 configuratie

AUTHENTICATIE. Version Date Author Description Mark Hameetman Initiele document

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Mobile Devices, Applications and Data

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Sr. Security Specialist bij SecureLabs

Forecast XL Technology

Dell SonicWALL product guide

COMP 4580 Computer Security. Web Security II. Dr. Noman Mohammed. Winter 2019

Handleiding DirectAdmin

Single Sign-On in ZIVVER met Okta

General info on using shopping carts with Ingenico epayments

Uitleg SPF, DKIM & DMARC

Web Security. Is echt alles kapot? SDN Event 2 September 2016

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

Naar een nieuw Privacy Control Framework (PCF)

5W Security Improvement

Technical Manual DocuPRO embedded Client for Konica Minolta

Technical Manual DocuPRO embedded Client for Konica Minolta

NAS SYNOLOGY. Gebruikte termen NAS. Hierna een korte beschrijving van de gebruikte termen bij instellingen en gebruik van de Synology D 213 j

Performance Essentials

Camping Hotspot Installatie

Handleiding DirectAdmin

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

DEVOPS kickstarter. van idee naar productie in Azure! 1 / 21

Internet-authenticatie management (A-select) Erik Flikkenschild

SECURITY UITDAGINGEN 2015

ESET Anti-Ransomware Setup

Transcriptie:

Third party mededeling Vertrouwelijk Klant Product AFAS Outsite / Payroll Cloud Versie 1.0 Auteur David van der Sluis Datum 26 juni 2017

1. Introductie Op verzoek van verstrekt Computest hierbij een Third Party Mededeling (TPM). Onderwerp van de TPM is de security test die Computest op verzoek van in juni 2017 heeft uitgevoerd op de Outsite en Payroll Cloud omgevingen. 2. Aanpak en scope Computest heeft een security test uitgevoerd aan de hand van de volgende checklists van Certified Secure: Certified Secure Web Application Security Test Checklist v4.2 Certified Secure Server Security Test Checklist v4.2 Tijdens een dergelijke security test wordt de applicatie door een ethical hacker handmatig getest met ondersteuning van tools. De tester zorgt dat aan het einde van de test ieder item op bovengenoemde checklists gecontroleerd is. Hierdoor ontstaat een transparante en reproduceerbare test. De rapportage bevat het resultaat van iedere check. Wanneer een checklist-item gefaald is, wordt uitgelegd op welke wijze de kwetsbaarheid zich voordoet, wat de impact is, en hoe deze kwetsbaarheid opgelost kan worden. Aan iedere kwetsbaarheid wordt bovendien een impact-score meegegeven die bepaald is volgens het Common Vulnerability Scoring System (CVSS), versie 2. Deze score duidt de technische impact van de kwetsbaarheid op de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens in het systeem. Onderwerp van deze test was de Outsite en Payroll Cloud omgevingen. Deze test is uitgevoerd op de volgende URL's: https://beta.afasonline.com/ https://beta.afasonline.com/payrollcloud/ Deze test is uitgevoerd op het volgende systeem: beta.afasonline.com De applicatie is getest vanuit de volgende gebruikersrollen: Gebruiker Bezoeker Document Third party mededeling Datum 26 juni 2017 Pagina 2 van 8

3. Samenvatting resultaten Tijdens de test zijn 4 kwetsbaarheden aangetroffen, met de volgende CVSS(v2) scores: CVSS(v2) score 4.0 2.6 2.6 2.1 Deze kwetsbaarheden betreffen zogeheten defense in depth -maatregelen: deze kwetsbaarheden kunnen zelfstandig niet misbruikt worden, maar kunnen door een aanvaller worden gecombineerd om gegevens te stelen of te manipuleren. Het platform zelf is goed beschermd tegen aanvallen vanaf het externe internet. Computest is gezien de aangetroffen kwetsbaarheden van mening dat de beveiliging van de Outsite en Payroll Cloud omgevingen voldoende is. Document Third party mededeling Datum 26 juni 2017 Pagina 3 van 8

4. Checklists Het doel van deze security test is te bepalen in hoeverre de systemen binnen de scope van deze test kwetsbaar zijn voor een aanval vanaf het internet. De test wordt uitgevoerd aan de hand van de Certified Secure Server Security Test Checklist en de Certified Secure Web Application Security Test Checklist. # Certified Secure Server Security Test Checklist Result Ref 1.0 Version Management 1.1 Test all services for missing security updates 1.2 Test all services for unsupported or end-of-life software versions 2.0 Network Security 2.1 Test for extraneous services 2.2 Test for extraneous ICMP functionality 2.3 Test for extraneous enabled network protocols 2.4 Test for firewall evasion using common techniques 3.0 Authentication and Authorization 3.1 Test all services for missing authentication or authorization 3.2 Test all services for predictable credentials 3.3 Test all services for default, test, guest and obsolete accounts 3.4 Test all services for missing rate limiting on authentication functionality 4.0 Privacy and Confidentiality 4.1 Test all services for disclosure of extraneous information 4.2 Test all services for insecure transmission of sensitive information 4.3 Test all services for weak, untrusted or expired SSL certificates 4.4 Test all services for known vulnerabilities in SSL/TLS 4.5 Test all services for the usage of unproven cryptographic primitives 4.6 Test all services for incorrect usage of cryptographic primitives 4.7 Test for publicly accessible test, development and acceptance systems 4.8 Test for production data stored on non-production systems 5.0 Service Specific 5.1 Test web services using the Web Application Security Test Checklist 5.2 Test mail services for open relaying 5.3 Test mail services for e-mail address enumeration 5.4 Test FTP services for anonymous file uploading Document Third party mededeling Datum 26 juni 2017 Pagina 4 van 8

# Certified Secure Server Security Test Checklist Result Ref 5.5 Test DNS services for unauthorized AXFR transfers 6.0 Miscellaneous 6.1 Test for missing rate limiting on resource intensive functionality 6.2 Test for inappropriate rate limiting resulting in a denial of service 6.3 Test all services for service-specific issues 6.4 Test for server- or setup-specific problems # Certified Secure Web Application Security Test Checklist Result Ref 1.0 Deployment 1.1 Test for missing security updates 1.2 Test for unsupported or end-of-life software versions 1.3 Test for HTTP TRACK and TRACE methods 1.4 Test for extraneous functionality 1.5 Test the server using the Server Security Test Checklist 2.0 Information Disclosure 2.1 Test for extraneous files in the document root 2.2 Test for extraneous directory listings 2.3 Test for accessible debug functionality 2.4 Test for sensitive information in log and error messages 2.5 Test for sensitive information in robots.txt 2.6 Test for sensitive information in source code 2.7 Test for disclosure of internal addresses 3.0 Privacy and Confidentiality 3.1 Test for sensitive information stored in URLs 3.2 Test for unencrypted sensitive information stored at the client-side 3.3 Test for sensitive information stored in (externally) archived pages 3.4 Test for content included from untrusted sources 3.5 Test for caching of pages with sensitive information 3.6 Test for insecure transmission of sensitive information 3.7 Test for non-ssl/tls pages on sites processing sensitive information 3.8 Test for SSL/TLS pages served with mixed content Document Third party mededeling Datum 26 juni 2017 Pagina 5 van 8

# Certified Secure Web Application Security Test Checklist Result Ref 3.9 Test for missing HSTS header on full SSL sites 3.10 Test for known vulnerabilities in SSL/TLS 3.11 Test for weak, untrusted or expired SSL certificates 3.12 Test for the usage of unproven cryptographic algorithms 3.13 Test for the incorrect usage of cryptographic primitives 4.0 State Management 4.1 Test for client-side state management 4.2 Test for invalid state transitions 5.0 Authentication and Authorization 5.1 Test for missing authentication or authorization 5.2 Test for client-side authentication 5.3 Test for predictable and default credentials 5.4 Test for predictable authentication or authorization tokens 5.5 Test for authentication or authorization based on obscurity 5.6 Test for identifier-based authorization 5.7 Test for acceptance of weak passwords 5.8 Test for plaintext retrieval of passwords 5.9 Test for missing rate limiting on authentication functionality 5.10 Test for missing re-authentication when changing credentials 5.11 Test for missing logout functionality 6.0 User Input 6.1 Test for SQL injection 6.2 Test for path traversal and filename injection 6.3 Test for cross-site scripting 6.4 Test for system command injection 6.5 Test for XML injection 6.6 Test for XPath injection 6.7 Test for XSL(T) injection 6.8 Test for SSI injection 6.9 Test for HTTP header injection 6.10 Test for HTTP parameter injection Document Third party mededeling Datum 26 juni 2017 Pagina 6 van 8

# Certified Secure Web Application Security Test Checklist Result Ref 6.11 Test for LDAP injection 6.12 Test for dynamic scripting injection 6.13 Test for regular expression injection 6.14 Test for data property/field injection 6.15 Test for protocol-specific injection 6.16 Test for expression language injection 7.0 Sessions 7.1 Test for cross-site request forgery (CSRF) 7.2 Test for predictable CSRF tokens 7.3 Test for missing session revocation on logout 7.4 Test for missing session regeneration on login 7.5 Test for missing session regeneration when changing credentials 7.6 Test for missing revocation of other sessions when changing credentials 7.7 Test for missing Secure flag on session cookies 7.8 Test for missing HttpOnly flag on session cookies 7.9 Test for non-restrictive domain on session cookies 7.10 Test for non-restrictive or missing path on session cookies 7.11 Test for predictable session identifiers 7.12 Test for session identifier collisions 7.13 Test for session fixation 7.14 Test for insecure transmission of session identifiers 7.15 Test for external session hijacking 7.16 Test for missing periodic expiration of sessions 8.0 File Uploads 8.1 Test for storage of uploaded files in the document root 8.2 Test for execution or interpretation of uploaded files 8.3 Test for uploading outside of designated upload directory 8.4 Test for missing size restrictions on uploaded files 8.5 Test for missing type validation on uploaded files 9.0 Content 9.1 Test for missing or non-specific content type definitions Document Third party mededeling Datum 26 juni 2017 Pagina 7 van 8

# Certified Secure Web Application Security Test Checklist Result Ref 9.2 Test for missing character set definitions 9.3 Test for missing anti content sniffing measures 10.0 XML Processing 10.1 Test for XML external entity expansion 10.2 Test for external DTD parsing 10.3 Test for extraneous or dangerous XML extensions 10.4 Test for recursive entity expansion 11.0 Miscellaneous 11.1 Test for missing anti-clickjacking measures 11.2 Test for open redirection 11.3 Test for insecure cross-domain access policy 11.4 Test for missing rate limiting on e-mail functionality 11.5 Test for missing rate limiting on resource intensive functionality 11.6 Test for inappropriate rate limiting resulting in a denial of service 11.7 Test for application- or setup-specific problems Document Third party mededeling Datum 26 juni 2017 Pagina 8 van 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback