Onderwijsinstelling

Achtergrond

Deze onderwijsinstelling heeft een groot applicatielandschap, met deels gekochte standaard applicaties en deels eigen ontwikkelde maatwerksoftware. Veelal zijn de laatste applicaties die data van overige systemen combineren om handige rapportages te creëren.

De case

De onderwijsinstelling heeft zelf een applicatie ontwikkeld waarmee studenten verzoeken tot vrijstelling konden indienen. Het management had zijn bedenkingen bij deze applicatie en wilde deze daarom laten testen op de veiligheid. De applicatie is onderworpen aan een security test in combinatie met een code review. De applicatie is geschreven in PHP.

Resultaat

Uit het onderzoek bleek onder andere dat de applicatie vatbaar was voor Cross-site scripting(XSS), SQL injectie en LDAP injectie. Tevens bleken er componenten in de webservers sterk verouderd waardoor de webserver kwetsbaar was.

Het advies luidde de applicatie direct uit te zetten. De bevindingen waren zo cruciaal dat dit de beste optie was. Daarnaast werd geadviseerd om de bevindingen niet op te lossen maar naar een structurelere oplossing te kijken.

De onderwijsinstelling heeft op advies van Carthago ICT de applicatie offline gehaald en is bezig om een vervangende oplossing te bedenken. Tevens wordt er bekeken hoe dit in de toekomst voorkomen kan worden en worden overige maatwerk applicaties aan security testen onderworpen.