Incontrol-safety-first-bij-Incontrol-NL
Incontrol - Information security - Featured image 2

Safety first bij Incontrol

  • 28 mei, 2024
  • Door Maarten Kruit
  • Leestijd:
Deel artikel

Bij Incontrol stellen we de veiligheid van data voorop! Als onderdeel van de PDCA-cyclus van onze ISO27001-certificering en als goede gewoonte om de veiligheid van Incontrol te waarborgen, hebben wij opdracht gegeven aan nSEC/Resilience (een externe partij) om een penetratietest uit te voeren op Incontrol.

 

De resultaten

Tijdens de penetratietest zijn er geen bevindingen van kritieke of zelfs hoge ernst geconstateerd. De testers zijn er niet in geslaagd om gevoelige data te verkrijgen of de server via de applicatie over te nemen. Dit is een zeer positief resultaat waar we trots op zijn.

Kwetsbaarheden van gemiddelde ernst

De penetratietest heeft geresulteerd in een aantal kwetsbaarheden van gemiddelde ernst (totaal 3 stuks). De meest relevante bevindingen betreffen input-validatiegerelateerde kwetsbaarheden. Het gaat hierbij om het triggeren van een SSRF-payload  en de mogelijkheid van HTML-injectie  in sommige invoervelden. Een andere bevinding betrof de aanwezigheid van JavaScript-sourcemaps.

Hoewel deze drie kwetsbaarheden niet als kritisch worden beschouwd, vormen ze nog steeds een risico voor de veiligheid en integriteit van de applicatie. Het was dan ook essentieel dat deze problemen werden aangepakt om mogelijke exploitatie door aanvallers te voorkomen. In onze laatste release zijn deze drie kwetsbaarheden direct opgelost.

Kwetsbaarheden van lage ernst

Alle andere bevindingen hadden een lage ernst (7 totaal). Voor deze bevindingen van lage ernst is er geen directe noodzaak om ze op te lossen, maar het implementeren van oplossingen voor deze bevindingen zal de beveiliging van Incontrol verder versterken. We willen een basislijn vaststellen die nog meer vertrouwen geeft, dus we zijn een plan aan het maken om ook deze bevindingen van lage ernst te corrigeren en te verminderen.

We hebben vertrouwen in de veiligheid van ons platform en blijven ons altijd inzetten om de beveiliging continu te verbeteren.

Voor meer informatie over hoe wij jouw gegevens beschermen, bezoek onze informatiebeveiligingspagina.

De meest gestelde vragen

Een SSRF-payload is een specifieke code of gegevens die door een aanvaller wordt ingevoerd om een Server-Side Request Forgery-kwetsbaarheid uit te buiten en de server te misleiden om verzoeken naar ongewenste of interne locaties te sturen.

HTML-injectie is een beveiligingskwetsbaarheid waarbij een aanvaller schadelijke HTML-code in een webpagina invoert, waardoor deze kan worden uitgevoerd in de browser van een gebruiker.

JavaScript-sourcemaps zijn bestanden die de getransformeerde JavaScript-code (zoals gecomprimeerde of getranspireerde code) koppelen aan de oorspronkelijke broncode, waardoor debugging en foutopsporing gemakkelijker worden.

Probeer Incontrol nu 14 dagen volledig kosteloos!

Probeer nu gratis
background image