Factsheet Penetratietest Webapplicaties



Vergelijkbare documenten
Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Infrastructuur

Zest Application Professionals Training &Workshops

Security Health Check

WEBAPPLICATIE-SCAN. Kiezen op Afstand

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid

Sebyde Web Applicatie Security Scan. 7 Januari 2014

ISSX, Experts in IT Security. Wat is een penetratietest?

Jacques Herman 21 februari 2013

Informatiebeveiliging als proces

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Training en workshops

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Checklist beveiliging webapplicaties

Gemeente Alphen aan den Rijn

Beveiliging en bescherming privacy

CEL. Bouwstenen voor een elektronische leeromgeving

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Testen van security Securityrisico s in hedendaagse systemen

Intake <applicatie> Conclusie & Aanbevelingen. <Datum> 1.0. <Auteur> ###-#######

Beveiligingsbeleid Stichting Kennisnet

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

0.1 Opzet Marijn van Schoote 4 januari 2016

Ontsluiten iprova via Internet Voorbeeld methoden

Gratis bescherming tegen zero-days exploits

Sr. Security Specialist bij SecureLabs

Help! Mijn website is kwetsbaar voor SQL-injectie

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Het Sebyde aanbod. Secure By Design

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Service Level Agreement

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet Enterprise Mobility

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

SiteSafe. Rapportage. Security Audit voor CFConsultancy

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Samenwerken met Hosting.nl SLA VOORWAARDEN

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Identify and mitigate your IT risk

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

OpenIMS 4.2 Portaal Server

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

HET CENTRALE SECURITY PLATFORM

Rapport van bevindingen Beveiligingsonderzoek webapplicatie HISICT 2016

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Werken zonder zorgen met uw ICT bij u op locatie

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

BIJLAGE 1: PRIVACY BIJSLUITER QL-Online

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

DigiD beveiligingsassessment Decos Information Solutions

Aanbevelingen en criteria penetratietest

Security audit en vrijwaringsovereenkomst

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Informatiebeveiligingsbeleid

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Informatieveiligheid in de gemeente Dordrecht

Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid,

Memo Regiegroep OSO Datum: 7 januari 2016 Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Transcriptie:

Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Dit document is een bijlage bij de overkoepelende dienstbeschrijving Penetratietest Informatievoorziening. FortiVision kent een aantal verschillende verschijningsvormen van penetratietest. Deze bijlage beschrijft de penetratietesten waarvan het doelobject een webapplicatie is. Webapplicaties Steeds meer organisaties maken gebruik van webapplicaties. Door applicaties via een webinterface beschikbaar te stellen kan de functionaliteit op een effectieve manier aan een grote doelgroep worden aangeboden. Dit heeft zowel voor de organisatie als voor de gebruikers grote voordelen. Een webapplicatie kan bijvoorbeeld worden gebruikt om eindgebruikers online goederen of diensten af te laten nemen of hun eigen gegevens bij te laten werken. Door de eindgebruiker wordt dit als een extra service ervaren, terwijl het voor een organisatie veel efficiënter kan zijn dan wanneer deze informatie telefonisch of schriftelijk zou moeten worden verwerkt. Webapplicaties kunnen op deze manier een kostenbesparend en klantvriendelijk bedrijfsmiddel zijn. Vaak zal de gebruikersgroep bestaan uit eindgebruikers die de webapplicatie via Internet kunnen benaderen. De webapplicatie kan echter ook aan een afgeschermde groep gebruikers beschikbaar worden gesteld, zoals eigen medewerkers of tussenpersonen. Webapplicaties kunnen dan ook zeer breed worden ingezet, bijvoorbeeld via een extranet, om aan eindgebruikers informatie over aan hen geleverde of te leveren diensten te verstrekken of om goederen en diensten te verkopen. Hierdoor verwerken Webapplicaties vaak vertrouwelijke informatie. Dit kan informatie over de eindgebruikers zijn, zoals aan hen geleverde goederen of diensten of hun NAW-gegevens, maar ook interne informatie van een bedrijf zoals financiële informatie, gegevens over klanten enof medewerkers, kritieke bedrijfsprocessen of de beveiliging van het pand en de ICT-infrastructuur. Verantwoordelijkheid De eigenaar van de webapplicatie, en daarmee van de informatie, is verantwoordelijk voor de beveiliging van deze informatie. Wanneer vertrouwelijke informatie via de webapplicatie uitlekt kan dat ernstige gevolgen hebben. Zo kunnen vertrouwelijke bedrijfsgegevens of gegevens over klanten bij concurrenten terecht komen. Een dergelijk incident levert vaak, ongeacht de aard en omvang van de uitgelekte informatie, schade op aan het imago van een organisatie. Wanneer persoonsgegevens door een applicatie worden verwerkt bestaat tegenover de gebruikers niet alleen een morele plicht om zorgvuldig met hun informatie om te gaan, maar ook op grond van de Wet Bescherming Persoonsgegevens dienen passende beveiligingsmaatregelen te worden getroffen. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 2 van 6

Soms is ook de beschikbaarheid van de webapplicatie van groot belang voor een organisatie en kan tijdelijke of langdurige uitval vervelende, al dan niet financiële, consequenties hebben. Kwetsbare webapplicaties kunnen een bedreiging vormen voor de overige servers van een organisatie of zelfs voor het gehele interne netwerk. De penetratietest Daar waar besturingssystemen en webservers generiek zijn en de beveiliging ervan door de ontwikkelaars en de vele gebruikers met grote regelmaat wordt getest, is dat bij webapplicaties meestal niet het geval. Webapplicaties worden immers over het algemeen voor één specifieke gebruiker ontwikkeld. Hierdoor is de kans dat eventueel aanwezige kwetsbaarheden door anderen reeds zijn gevonden en verholpen zeer klein. Het testen van het systeem met alleen een kwetsbaarheidscanner zal dan ook niet de gewenste inzichten bieden. Een effectief middel om toch de kwetsbaarheden in een webapplicatie te vinden en ze te verhelpen vóór een kwaadwillende ze weet te achterhalen en te misbruiken, is de penetratietest. Een penetratietest op een webapplicatie kan worden gezien als een praktische toetsing van de beveiliging. Zo n test biedt inzicht in de effectiviteit van de getroffen beveiligingsmaatregelen en toont de punten waar aanvullende beveiligingsmaatregelen wenselijk zijn. Bovendien wordt met de penetratietest duidelijk gemaakt wat de gevolgen van aanwezige kwetsbaarheden zijn terwijl tevens wordt aangegeven hoe ze kunnen worden verholpen. Voorbeelden van testonderdelen bij een penetratietest zijn: Identificatie/authenticatie is het mogelijk om als niet-gebruiker toch toegang te krijgen? Of kan een gebruiker zich voordoen als een andere gebruiker; Fouten in de applicatie die kunnen leiden tot het verkrijgen van ongewenste toegangsrechten; SQL injectiemogelijkheden de mogelijkheid tot het aanpassen van gebruikte SQL queries en zodoende het direct bevragen/aanpassen van de achterliggende database; File disclosure mogelijkheden de mogelijkheid om bestanden in te zien die niet voor publicatie bedoeld waren (bijvoorbeeld bestanden met accountgegevens); Remote file include mogelijkheden is het mogelijk om bestanden van buitenaf in de applicatie te plaatsen om daarmee ongewenste handelingen te verrichten of meer controle over het systeem te krijgen; Cross Site Scripting mogelijkheden zijn er mogelijkheden aanwezig om andere gebruikers geïnjecteerde code te laten uitvoeren in hun webbrowser om hen zo onbewust handelingen te laten verrichten of zijn sessie over te nemen ; Inferentie het indirect kunnen afleiden van informatie uit het gedrag van de applicatie. Hierbij wordt gebruik gemaakt van verschillende technieken die speciaal zijn toegesneden op het type applicatie dat getest wordt. De consultants van FortiVision beschikken over een goede tooling verzameling om deze testen uit te voeren, maar bovenal hebben zij over het vermogen dat elke goede hacker kenmerkt: een gezonde dosis creativiteit om on the spot nieuwe technieken te bedenken Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 3 van 6

in combinatie met een goede beheersing van diverse script- en programmeertalen om tooling op maat te ontwikkelen. Varianten Zoals bij elk onderzoek het geval is zal ook een penetratietest slechts de gewenste antwoorden opleveren wanneer de juiste onderzoeksvragen worden gesteld. Enkele voorbeelden van onderzoeksvragen zijn: o o o Is het mogelijk om zonder gebruikersaccount toegang te krijgen tot de applicatie en/of daarin aanwezige informatie? Is het mogelijk om als gebruiker toegang te krijgen tot informatie of (beheer- )componenten van de applicatie waarvoor geen autorisatie is verleend, zoals persoonsgegevens van andere gebruikers? Is het mogelijk om op enige wijze onrechtmatig toegang te krijgen tot de server waarop de applicatie draait en/of tot overige systemen binnen de infrastructuur? Penetratietesten kunnen in verschillende varianten worden uitgevoerd. Aan de hand van het doel van de webapplicatie en de onderzoeksvragen kan worden vastgesteld wat de meest efficiënte aanpak is. In hoofdlijnen zijn drie varianten van de penetratietest te onderscheiden: 1. Black box: Hierbij spelen de consultants van FortiVision de rol van blinde aanvaller zonder enige voorinformatie over het doelobject, anders dan de informatie die nodig is om de test tot het doelobject te kunnen beperken. 2. Gray box: Hierbij spelen de consultants van FortiVision de rol van (meestal) reguliere gebruiker. Zij hebben dan geen directe administratieve toegang tot de doelobjecten en hebben ook geen toegang tot de broncode van applicaties of configuratiebestanden. Wel hebben zij twee of meer gebruikeraccounts en een zekere hoeveelheid voorinformatie. De exacte hoeveelheid voorinformatie kan van test tot test verschillen, afhankelijk van het exacte doel. 3. Crystal box (ook wel Glass box of White box genoemd): Hierbij hebben de consultants volledige toegang tot alle informatie over het te testen object. Zij kunnen de broncode van de applicatie(s) inzien, configuratiebestanden opvragen, enzovoorts. In principe zijn de penetratietesten intrusive, wat wil zeggen dat er daadwerkelijk zal worden geprobeerd om zwakke plekken uit te buiten. Wanneer dat niet wenselijk is, kan voor een non-intrusive aanpak worden gekozen. Overigens worden doelgerichte Denial of Service aanvallen expliciet uitgesloten van de penetratietesten; een penetratietest is er immers op gericht schade te voorkomen en niet om die te veroorzaken. De rapportage De resultaten van de penetratietest worden opgeleverd in een rapport, bestaande uit een managementsamenvatting, inleiding (kaderstelling), Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 4 van 6

bevindingen, conclusies en aanbevelingen. FortiVision beoogt haar rapporten zodanig op te stellen dat ze niet alleen voor niet-technisch onderlegde personen goed leesbaar zijn, maar dat ze zeker ook goed bruikbaar zijn om eventuele technische problemen te verhelpen. In een managementsamenvatting wordt kort en begrijpelijk weergegeven wat er is getest, wat de globale bevindingen zijn en, indien van toepassing, met welke inspanning de tekortkomingen kunnen worden verholpen. Vervolgens worden de bevindingen van de uitgevoerde penetratietest weergegeven. Hierbij wordt geen opsomming gegeven van elk onderzocht systeem met de eventueel daarop aanwezige beveiligingsproblemen, maar worden beveiligingsproblemen gegroepeerd per getest onderdeel. Het oplossen van de beveiligingsproblemen vraagt zeker op infrastructuurniveau een integrale aanpak waarmee wordt voorkomen dat reeds verholpen beveiligingsproblemen snel weer terugkomen. Vervolgens worden de conclusies die uit de bevindingen kunnen worden getrokken beschreven. De aanbevelingen worden op basis van de bevindingen geprioriteerd opgenomen in de rapportage. Bij de prioriteitsstelling wordt rekening gehouden met de ernst van het aangetroffen beveiligingsprobleem en de inspanning inclusief eventuele kosten voor het verhelpen ervan. Methodiek De door FortiVision uitgevoerde penetratietesten op infrastructuren en webapplicaties zijn gebaseerd op de internationaal erkende standaard Open Source Security Testing Methodology Manual (OSSTMM). Door het hanteren van deze methodiek wordt een waarborg gecreëerd dat het netwerk op alle binnen de scope van het onderzoek vallende beveiligingsaspecten wordt getoetst. De bevindingen van penetratietesten die volgens deze methodiek zijn uitgevoerd worden over het algemeen door auditende partijen geaccepteerd, wat vaak niet het geval is bij penetratietesten die niet volgens een vastgelegde methodiek worden uitgevoerd. Kwalificatie FortiVision heeft een ruime ervaring met de uitvoering van penetratietesten, zowel gericht op de beveiliging van een ICT infrastructuur, applicaties alsook gebouwen (fysieke penetratietesten in de vorm van de dienst MysteryMan). De penetratietesten worden uitgevoerd door consultants die kunnen putten uit een zeer ruime ervaring (meer dan 10 jaar), en hebben een diepgaande kennis van zowel de theorie als de praktijk achter de verschillende beveiligings- en aanvalstechnieken. Omdat de consultants van FortiVision met grote regelmaat met (soms zeer) vertrouwelijke informatie in aanraking komen, weten zij hoe zij hier mee om dienen te gaan. Alle consultants hebben een geheimhoudingsverklaring getekend die ook betrekking heeft op informatie verkregen bij opdrachten van opdrachtgevers. Een geheimhoudingsverklaring tussen FortiVision en zijn opdrachtgevers is standaard opgenomen in onze Algemene Voorwaarden. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 5 van 6

Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email: Adres : Stadionstraat 1a 4815NC Breda Telefoon: 088-160 1780 Fax: 088-160 1790 E-mail: Website: info@db-fortivision.nl http://www.db-fortivision.nl Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 6 van 6

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback