IT bedrijf

Achtergrond

Een IT-bedrijf heeft een applicatie door studenten laten ontwikkelen. Deze applicatie is succesvol geworden en bedient nu een tiental klanten. De applicatie wordt in beheer genomen door een ander bedrijf en zij willen weten wat de status van de applicatiebeveiliging is.

De case

De desbetreffende applicatie bevat privacy gevoelige informatie en bij voorbaat moet duidelijk zijn hoe veilig de applicatie is. De applicatie is geschreven in PHP. Het IT bedrijf wil niet het risico lopen een product in beheer te nemen dat niet veilig is. Daarom is gevraagd om deze applicatie te auditen.

Resultaat

Het bleek mogelijk te zijn om commando’s op besturingssysteem niveau uit te voeren en om bestanden van andere klanten van het SAAS product in handen te krijgen.

Het advies was om de kritieke issues zo spoedig mogelijk op te lossen. Tevens werd geadviseerd om de architectuur van de applicatie nader te belichten.

Na snel schakelen zijn deze kritieke issues opgelost in de productie omgeving. Parallel hieraan is ook besloten de applicatie te gaan herbouwen en applicatiebeveiliging direct mee te nemen bij het ontwerpen en implementeren van de nieuwe applicatie (security by design).