Drupal Cross-site scripting in community projects

Ik heb een tijd geleden een cross-site scripting (XSS) probleem in een Drupal community theme opgelost en aangemeld. Ik was benieuwd hoe makkelijk het zou zijn om nieuwe security bugs te vinden.

Ik heb een aantal van de meest gebruiker themes en modules bekeken en daarin diverse security problemen gevonden. Ik heb deze aangemeld bij het Drupal security team. Dit heeft uiteindelijk geresulteerd in security updates van deze projecten waarbij de gevonden problemen zijn opgelost.

Bouw PHP applicatie GGD Amsterdam

Periode: februari en maart 2014

Voor een periode van twee maanden heb ik gewerkt bij de GGD Amsterdam. Daar was men begonnen aan het implementeren van een enquete applicatie. Deze applicatie was in PHP5 gebouwd en volledig object georienteerd en maakte veel gebruik van javascript voor servercommunicatie. Met deze applicatie kunnen gebruikers hun gezondheidsrisico's in kaart brengen. Afhankelijke van de uitkomst van de enquete kunnen de gebruikers bij de GGD gezondheidonderzoeken uit laten voeren.

Postnl / cendris Drupal en PHP beheer

Periode: januari 2014 - oktober 2014

Cendris heeft voor PostNL diverse websites ontwikkeld. Deze websites zijn gebouwd met Drupal en bevatten veel custom PHP. Sogeti heeft een dertigtal websites in beheer genomen. Hiervoor heb ik meegwerkt aan het intake process. Alle websites zijn op functioneel en technisch gebied onderzocht en de risico's zijn in kaart gebracht. Vervolgens is er documentatie opgesteld waarmee de websites in beheer genomen kunnen worden. Vervolgens heeft ik gewerkt aan het inschatten en uitvoeren van changes.

Drupal Zero point Cross-site scripting

Binnen mijn Drupal afdeling bij Sogeti ben ik het aanspreekpunt voor security. Ik probeer de security awareness te verhogen en de beveiliging van onze producten en projecten te verbeteren. Dus als er een cross-site scripting probleem in een Drupal thema van een klant wordt gemeld ben ik er als eerste bij. Het community thema bevatte een reflective cross-site scripting probleem. Na het probleem voor de klant opgelost te hebben, heb ik de bug aangemeld bij het Drupal security team.