Broncode-audit

zal een broncode-audit uitvoeren ter ondersteuning van pentesting. Gedurende de code-audit onderzoeken wij handmatig de broncode van een applicatie om te verzekeren dat er geen kwetsbaarheden in de beveiliging zitten en gebruiken wij ons begrip van de code om het pentesten te leiden. Als er kwetsbaarheden gevonden worden documenteren wij deze en komen met suggesties om deze op te lossen. De audit wordt uitgevoerd door goed getrainde penetratietesters die zowel raw code kunnen herzien als de bevindingen van geautomatiseerde scans interpreteren en in context brengen.

Tijdens het code-audit-gedeelte van penetratietests nemen wij de volgende criteria mee:

  1. Risicobeoordeling en "Threat Modeling"
    In deze stap analyseren wij de risico's van een bepaalde toepassing of een bepaald systeem. "Threat modeling" is een specifieke, gestructureerde aanpak voor risico-analyse die wordt ingezet tijdens het codeherzieningsproces en die ons in staat stelt beveiligingsrisico's te identificeren, te kwalificeren en te addresseren. Bijvoorbeeld: Gebruiksgegevens zijn heilig. We controleren op versleutelde gegevensopslag, onderzoeken of werknemers een "backdoor" in hun data hebben of ontkoppelen (indien van toepassing) gestolen toestellen door deze op afstand te wissen en accounts in te trekken.
  2. Doel en Context
    Hier richten we ons vooral op de risico's, bijvoorbeeld wanneer (te) snel en gemakkelijk interne documenten en agenda's worden gedeeld. Accountgegevens zijn niet zo geheim als wij weten wie bij vergaderingen aanwezig is - zelfs als het besprokene wél geheim blijft.
  3. Complexiteit
    De complexiteit van het systeem zit hem in de frameworks die de (web)applicatie ondersteunen. Wij richten ons voornamelijk op de "custom" en back-end code, en dan in het bijzonder op implementatiefouten en bekende fouten in de systemen. Bijvoorbeeld: We controleren of u de laatste versie van de ondersteunende software gebruikt, maar duiken niet in het eigenlijke framework. We nemen aan dat de code is geschreven door een team en dus waarschijnlijk duidelijk geschreven is. Als u meerdere full-release versies heeft, zullen er ongetwijfeld meerdere coderevisies en -audits zijn.

Voor meer informatie verwijzen wij u naar de volgende link: https://www.owasp.org/index.php/OWASP_Code_Review_V2_Table_of_Contents