Taakomschrijving

Context en voorwerp

Onze klant beschikt over een webbased tool die ondersteuning biedt aan haar medewerkers op het terrein. Deze tool bestaat uit verschillende apps die op basis van bepaalde rechten al dan niet toegankelijk zijn voor zijn gebruikers.

De tool bevat gevoelige informatie en onze klant wil dan ook de privacy en veiligheid van deze data garanderen.

Het doel van de opdracht bestaat eruit om de beveiliging van de toepassing door te lichten. Het evalueren van het veiligheidsniveau gebeurt door middel van aanvallen op de infrastructuur (interne netwerk penetratietest) en de software (web application penetratietest).

Er wordt gevraagd naar twee soorten aanvallen:

  • Black box testing in de rol van een vijandige aanvaller.
  • White box testing in de rol van geauthenticeerde gebruikers met verschillende profielen die niet-geautoriseerde handelingen probeert te stellen.

De testen worden hoofdzakelijk uitgevoerd vanuit de positie van een menselijke actor, niet vanuit geautomatiseerde tools.

Er wordt getest met en zonder afscherming met IPS.

Een af te spreken selectie aan destructieve testen (bv het injecteren van nieuwe kwetsbaarheden) zijn in scope. Testen door middel van social engineering zijn niet in scope.

Verwachtingen

We verwachten een voorstel dat een antwoord kan bieden op onderstaande noden. Alternatieve en innovatieve voorstellen worden aangemoedigd.

Functionele verwachtingen

Het rapport bevat volgende informatie:

  • Welke gevoelige informatie kan worden gevonden, gewijzigd of verwijderd
  • Mogelijkheden waarmee een gebruiker de gebruikersaccount van iemand anders kan gebruiken
  • Mogelijkheden waarmee sessies kunnen worden gestolen
  • Gevaar op scripting (injectie) aanvallen
  • Verificatie van user input door de service laag
  • Kwetsbaarheden van de infrastructuur (routering, firewall, policies)
  • Draagwijdte van potentiële zwakheden en voorstel voor oplossing

Minimaal worden volgende aspecten onderzocht, zoals beschreven in OWASP top 10 – 2013:

  • A1 Injection
  • A2 Broken Authentication and Session Management
  • A3 Cross-Site Scripting (XSS)
  • A4 Insecure Direct Object References
  • A5 Security Misconfiguration
  • A6 Sensitive Data Exposure
  • A7 Missing Function Level Access Control
  • A8 Cross-Site Request Forgery (CSRF)
  • A9 Using Components with Known Vulnerabilities
  • A10 Unvalidated Redirects and Forwards

Verwachtingen op het vlak van (project-) communicatie

Je kan gedurende de opdracht beschikken over een flexplek, vergaderruimte, koffie en alle andere faciliteiten bij onze klant. Ook onze developers en technische experten kunnen aangesproken worden

Het rapport bevat een business summary en een algemeen overzicht, evenals een dieptechnische omschrijving van de gevonden problemen (incl. te reproduceren stappen)

Indien tijdens het proces kritische zwakheden gevonden worden, dan zal de opdrachtgever onmiddellijk ingelicht worden zodat er kan geremedieerd worden alvorens de testen worden verdergezet.

Het rapport zal worden besproken met de opdrachtgever alvorens het finaal wordt opgeleverd.

Job ID: 2889

Solliciteren voor deze vacature

Vul onderstaand formulier in

Allowed Type(s): .pdf, .doc, .docx