Business Case

Onderwijsinstelling

Achtergrond

Deze onderwijsinstelling heeft een groot applicatielandschap, met deels standard gekochte applicaties en deels eigen ontwikkelde maatwerksoftware. Veelal zijn de laatste applicaties die data van overige systemen combineren om handige rapportages te creeren. 

De case

De onderwijsinstelling heeft zelf een applicatie ontwikkeld waarmee studenten verzoeken konden indienen. Het management had zijn bedenkingen bij deze applicatie en wilde deze daarom laten testen op de veiligheid. De applicatie is onderworpen aan een security test in combinatie met een code review. De applicatie is geschreven in PHP.

Resultaat

Uit het onderzoek bleek onder andere dat de applicatie vatbaar was voor Cross-site scripting(XSS), SQL injectie en LDAP injectie. Tevens bleken er componenten in de webservers sterk verouderd waardoor de webserver kwetsbaar was.

Het advies luidde de applicatie direct uit te zetten. De bevindingen waren zo cruciaal dat dit de beste optie was. Daarnaast werd geadviseerd om de bevindingen niet op te lossen maar naar een structurelere oplossing te kijken. 

De onderwijsinstelling heeft op advies van Carthago ICT en Closesure de applicatie offline gehaald en is bezig om een vervangende oplossing te bedenken. Tevens wordt er bekeken hoe dit in de toekomst voorkomen kan worden en worden overige maatwerk applicaties aan security testen onderworpen.

Voor meer informatie neem contact op!

Neem contact op met Vincent.

Vincent Stinesen

Vincent Stinesen
+31 (0)6 53650488
string



Back to Top