Security

Drupal Cross-site scripting in community projects

Ik heb een tijd geleden een cross-site scripting (XSS) probleem in een Drupal community theme opgelost en aangemeld. Ik was benieuwd hoe makkelijk het zou zijn om nieuwe security bugs te vinden.

Ik heb een aantal van de meest gebruiker themes en modules bekeken en daarin diverse security problemen gevonden. Ik heb deze aangemeld bij het Drupal security team. Dit heeft uiteindelijk geresulteerd in security updates van deze projecten waarbij de gevonden problemen zijn opgelost.

Drupal Zero point Cross-site scripting

Binnen mijn Drupal afdeling bij Sogeti ben ik het aanspreekpunt voor security. Ik probeer de security awareness te verhogen en de beveiliging van onze producten en projecten te verbeteren. Dus als er een cross-site scripting probleem in een Drupal thema van een klant wordt gemeld ben ik er als eerste bij. Het community thema bevatte een reflective cross-site scripting probleem. Na het probleem voor de klant opgelost te hebben, heb ik de bug aangemeld bij het Drupal security team.

Sogeti Security Center

Periodes: oktober 2011 t/m januari 2012 - oktober 2012 t/m januari 2013

Binnen het Security center van Sogeti heeft Dennis voor diverse klanten Security Assessments uitgevoerd. Hierbij worden de beveiligingsmaatregelen van websites en -applicaties in kaart gebracht en beoordeeld of deze voldoen.

Eerst wordt de site geïnventariseerd. Er wordt bekeken wat voor structuur de website heeft en welke functionaliteiten er geboden worden. Daarnaast wordt achterhaald welke software en systemen er gebruikt wordt. Vervolgens worden alle onderdelen getest. Er wordt dan onder andere gekeken naar de volgende onderdelen: Clientside controls, Authenticatie, Sessiemanagement. Toegang, Inputvalidatie, Functie input, en Logicafouten.