39 lines
2.6 KiB
XML
39 lines
2.6 KiB
XML
<?xml version="1.0" encoding="UTF-8"?>
|
|
<section>
|
|
<title>Broncode-audit</title>
|
|
<p><company_short/> zal een broncode-audit uitvoeren ter ondersteuning van pentesting.
|
|
Gedurende de code-audit onderzoeken wij handmatig de broncode van een applicatie
|
|
om te verzekeren dat er geen kwetsbaarheden in de beveiliging zitten en gebruiken wij
|
|
ons begrip van de code om het pentesten te leiden. Als er kwetsbaarheden gevonden worden
|
|
documenteren wij deze en komen met suggesties om deze op te lossen. De audit wordt uitgevoerd
|
|
door goed getrainde penetratietesters die zowel raw code kunnen herzien
|
|
als de bevindingen van geautomatiseerde scans interpreteren en in context brengen.</p>
|
|
<p>Tijdens het code-audit-gedeelte van penetratietests nemen wij de volgende criteria mee:</p>
|
|
<ol>
|
|
<li>Risicobeoordeling en "Threat Modeling"<br/>
|
|
In deze stap analyseren wij de risico's van een bepaalde toepassing of een bepaald systeem.
|
|
"Threat modeling" is een specifieke, gestructureerde aanpak voor risico-analyse die wordt ingezet tijdens het codeherzieningsproces en die ons in staat stelt beveiligingsrisico's te identificeren, te
|
|
kwalificeren en te addresseren. Bijvoorbeeld: Gebruiksgegevens zijn heilig.
|
|
We controleren op versleutelde gegevensopslag, onderzoeken of <client_short/> werknemers
|
|
een "backdoor" in hun data hebben of ontkoppelen (indien van toepassing) gestolen toestellen
|
|
door deze op afstand te wissen en accounts in te trekken.</li>
|
|
<li>Doel en Context<br/>
|
|
Hier richten we ons vooral op de risico's, bijvoorbeeld wanneer (te) snel en gemakkelijk
|
|
interne documenten en agenda's worden gedeeld. Accountgegevens
|
|
zijn niet zo geheim als wij weten wie bij vergaderingen aanwezig is - zelfs als het besprokene wél geheim blijft.
|
|
</li>
|
|
<li>Complexiteit<br/>
|
|
De complexiteit van het systeem zit hem in de frameworks die de
|
|
(web)applicatie ondersteunen. Wij richten ons voornamelijk
|
|
op de "custom" en back-end code, en dan in het bijzonder op implementatiefouten en bekende
|
|
fouten in de systemen. Bijvoorbeeld: We controleren of u de laatste
|
|
versie van de ondersteunende software gebruikt, maar duiken niet in het eigenlijke framework.
|
|
We nemen aan dat de code is geschreven door een team en dus waarschijnlijk duidelijk
|
|
geschreven is. Als u meerdere full-release versies heeft, zullen er
|
|
ongetwijfeld meerdere coderevisies en -audits zijn.</li>
|
|
</ol>
|
|
<p>Voor meer informatie verwijzen wij u naar de volgende link:
|
|
<a href="https://www.owasp.org/index.php/OWASP_Code_Review_V2_Table_of_Contents">https://www.owasp.org/index.php/OWASP_Code_Review_V2_Table_of_Contents</a></p>
|
|
|
|
</section>
|