HOLISTISCHE UPGRADE VAN DE VEILIGHEIDSHOUDING VOOR EEN TECHNOLOGIE FAST 500 FINTECH-INSTELLING

CASESTUDY

PENETRATIETESTS VOOR FINANCIEEL SUCCES

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

EEN ROBOTISCHE PROCESAUTOMATISERING CASESTUDY

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

Probleemstelling

De klant is de toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een lage bank. Hun in Chicago gevestigde team van technologen ontwikkelde een nieuwe-generatiebenadering van kredietverlening, en ze werkten aan een wereld waarin elk individu kansen heeft om financieel succes te behalen zonder te worden tegengehouden door een driecijferige kredietscore.

De klant realiseerde zich al snel dat om een financieel hulpmiddel voor iedereen te worden, ze veilig moesten zijn. Met deze ‘security first’-ambitie in gedachten wendden ze zich tot Zuci om veiligheidslacunes in hun reeks lening- en kredietdiensten te ontdekken.

HOE ZUCI-SYSTEMEN HELPEN?

Testingenieurs bij Zuci werkten nauw samen met de klant om de kwetsbare zakelijke use-cases te identificeren

Een haalbaarheidsstudie uitgevoerd naar commerciële en open-source penetratietesttools

Breed uitgevoerd & gerichte scans om potentiële blootstellingsgebieden en diensten te identificeren die als toegangspunt kunnen fungeren

Checklist voor best practices op het gebied van beveiliging

Burpsuite
Kali Linux
Nessus7
NMAP
postbode

HOE ZUCI-SYSTEMEN HELPEN?

Testingenieurs bij Zuci werkten nauw samen met de klant om de kwetsbare zakelijke use-cases te identificeren

Een haalbaarheidsstudie uitgevoerd naar commerciële en open-source penetratietesttools

Brede en gerichte scans uitgevoerd om potentiële blootstellingsgebieden en services te identificeren die als toegangspunten kunnen fungeren
Checklist voor best practices op het gebied van beveiliging
Burpsuite
Kali Linux
Nessus7
NMAP
postbode

  • Grondige implementatie van de volgende industriestandaard penetratietestmethoden op zowel web- als API-niveau
    • OWASP: Testhandleiding voor Open Web Application Security Project (OWASP)
    • OWASP: OWASP API-beveiliging Top 10 – 2019
    • PTES: The Penetration Testing Execution Standard (PTES)
  • Identificeerde alle beveiliging kwetsbaar met behulp van het relevante risicorangmechanisme
  • Gerangschikt voor elke kwetsbaarheid op basis van de ernst, het verliespotentieel en de waarschijnlijkheid van uitbuiting
  • Aanbevolen oplossingen voor problemen die onmiddellijke gevolgen kunnen hebben

OPLOSSING

OPLOSSING

  • Grondige implementatie van de volgende industriestandaard penetratietestmethoden op zowel web- als API-niveau
    • OWASP: Testhandleiding voor Open Web Application Security Project (OWASP)
    • OWASP: OWASP API-beveiliging Top 10 – 2019
    • PTES: The Penetration Testing Execution Standard (PTES)
  • Identificeerde alle beveiliging kwetsbaar met behulp van het relevante risicorangmechanisme
  • Gerangschikt voor elke kwetsbaarheid op basis van de ernst, het verliespotentieel en de waarschijnlijkheid van uitbuiting
  • Aanbevolen oplossingen voor problemen die onmiddellijke gevolgen kunnen hebben

BEDRIJFSRESULTAAT

  • Verbeterde algemene beveiligingshouding van de applicatie met behulp van de best practices op het gebied van beveiliging
  • Elke kwetsbaarheid gemigreerd met relevante CVE-identifiers mapping (algemene kwetsbaarheden en blootstellingen)
Kwetsbaarheden Risico niveau Gemakkelijk te exploiteren CVE
Onveilige Direct Object Reference (IDOR) om gebruikersinformatie te bekijken kritisch Triviaal CWE-639
Onbeperkte toegang tot Spring Boot Actuator Endpoints Hoog Gematigd CVE-200
Logvergiftiging via HTTP-headerinjectie Medium Triviaal CWE-113
Wachtwoord reset token lekkage via verwijzer Medium Triviaal
Koptekst ‘X-Frame Options’ ontbreekt (Clickjacking) Medium Triviaal CVE-2016-9168

BEDRIJFSRESULTAAT

  • Verbeterde algemene beveiligingshouding van de applicatie met behulp van de best practices op het gebied van beveiliging
  • Elke kwetsbaarheid gemigreerd met relevante CVE-identifiers mapping (algemene kwetsbaarheden en blootstellingen)
Kwetsbaarheden Risico niveau Gemakkelijk te exploiteren CVE
Onveilige Direct Object Reference (IDOR) om gebruikersinformatie te bekijken kritisch Triviaal CWE-639
Onbeperkte toegang tot Spring Boot Actuator Endpoints Hoog Gematigd CVE-200
Logvergiftiging via HTTP-headerinjectie Medium Triviaal CWE-113
Wachtwoord reset token lekkage via verwijzer Medium Triviaal
Koptekst ‘X-Frame Options’ ontbreekt (Clickjacking) Medium Triviaal CVE-2016-9168

MET SECURITY PENTEST, LAAT ALLE BEVEILIGINGSGAPS IN UW . AAN
TOEPASSING EN VERBETER UW VEILIGHEIDSHOUDING HOLISTISCH.