HOLISTISCHE UPGRADE VAN DE VEILIGHEIDSHOUDING VOOR EEN TECHNOLOGIE FAST 500 FINTECH-INSTELLING

CASESTUDY

PENETRATIETESTS VOOR FINANCIEEL SUCCES

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

EEN ROBOTISCHE PROCESAUTOMATISERING CASESTUDY

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

Probleemstelling

De klant is de toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een lage bank. Hun in Chicago gevestigde team van technologen ontwikkelde een nieuwe-generatiebenadering van kredietverlening, en ze werkten aan een wereld waarin elk individu kansen heeft om financieel succes te behalen zonder te worden tegengehouden door een driecijferige kredietscore.

De klant realiseerde zich al snel dat om een financieel hulpmiddel voor iedereen te worden, ze veilig moesten zijn. Met deze ‘security first’-ambitie in gedachten wendden ze zich tot Zuci om veiligheidslacunes in hun reeks lening- en kredietdiensten te ontdekken.

HOE ZUCI-SYSTEMEN HELPEN?

Testingenieurs bij Zuci werkten nauw samen met de klant om de kwetsbare zakelijke use-cases te identificeren

Een haalbaarheidsstudie uitgevoerd naar commerciële en open-source penetratietesttools

Breed uitgevoerd & gerichte scans om potentiële blootstellingsgebieden en diensten te identificeren die als toegangspunt kunnen fungeren

Checklist voor best practices op het gebied van beveiliging

HOE ZUCI-SYSTEMEN HELPEN?

Testingenieurs bij Zuci werkten nauw samen met de klant om de kwetsbare zakelijke use-cases te identificeren

Een haalbaarheidsstudie uitgevoerd naar commerciële en open-source penetratietesttools

Brede en gerichte scans uitgevoerd om potentiële blootstellingsgebieden en services te identificeren die als toegangspunten kunnen fungeren

Checklist voor best practices op het gebied van beveiliging

Grondige implementatie van de volgende industriestandaard penetratietestmethoden op zowel web- als API-niveau

OWASP: Testhandleiding voor Open Web Application Security Project (OWASP)

OWASP: OWASP API-beveiliging Top 10 – 2019

PTES: The Penetration Testing Execution Standard (PTES)

Identificeerde alle beveiliging kwetsbaar met behulp van het relevante risicorangmechanisme

Gerangschikt voor elke kwetsbaarheid op basis van de ernst, het verliespotentieel en de waarschijnlijkheid van uitbuiting

Aanbevolen oplossingen voor problemen die onmiddellijke gevolgen kunnen hebben

OPLOSSING

Grondige implementatie van de volgende industriestandaard penetratietestmethoden op zowel web- als API-niveau

OWASP: Testhandleiding voor Open Web Application Security Project (OWASP)

OWASP: OWASP API-beveiliging Top 10 – 2019

PTES: The Penetration Testing Execution Standard (PTES)

Identificeerde alle beveiliging kwetsbaar met behulp van het relevante risicorangmechanisme

Gerangschikt voor elke kwetsbaarheid op basis van de ernst, het verliespotentieel en de waarschijnlijkheid van uitbuiting

Aanbevolen oplossingen voor problemen die onmiddellijke gevolgen kunnen hebben

BEDRIJFSRESULTAAT

Verbeterde algemene beveiligingshouding van de applicatie met behulp van de best practices op het gebied van beveiliging
Elke kwetsbaarheid gemigreerd met relevante CVE-identifiers mapping (algemene kwetsbaarheden en blootstellingen)

Kwetsbaarheden	Risico niveau	Gemakkelijk te exploiteren	CVE
Onveilige Direct Object Reference (IDOR) om gebruikersinformatie te bekijken	kritisch	Triviaal	CWE-639
Onbeperkte toegang tot Spring Boot Actuator Endpoints	Hoog	Gematigd	CVE-200
Logvergiftiging via HTTP-headerinjectie	Medium	Triviaal	CWE-113
Wachtwoord reset token lekkage via verwijzer	Medium	Triviaal	–
Koptekst ‘X-Frame Options’ ontbreekt (Clickjacking)	Medium	Triviaal	CVE-2016-9168

BEDRIJFSRESULTAAT

Verbeterde algemene beveiligingshouding van de applicatie met behulp van de best practices op het gebied van beveiliging
Elke kwetsbaarheid gemigreerd met relevante CVE-identifiers mapping (algemene kwetsbaarheden en blootstellingen)

Kwetsbaarheden	Risico niveau	Gemakkelijk te exploiteren	CVE
Onveilige Direct Object Reference (IDOR) om gebruikersinformatie te bekijken	kritisch	Triviaal	CWE-639
Onbeperkte toegang tot Spring Boot Actuator Endpoints	Hoog	Gematigd	CVE-200
Logvergiftiging via HTTP-headerinjectie	Medium	Triviaal	CWE-113
Wachtwoord reset token lekkage via verwijzer	Medium	Triviaal	–
Koptekst ‘X-Frame Options’ ontbreekt (Clickjacking)	Medium	Triviaal	CVE-2016-9168

MET SECURITY PENTEST, LAAT ALLE BEVEILIGINGSGAPS IN UW . AAN
TOEPASSING EN VERBETER UW VEILIGHEIDSHOUDING HOLISTISCH.

Download mijn exemplaar

Boek een consult

HOLISTISCHE UPGRADE VAN DE VEILIGHEIDSHOUDING VOOR EEN TECHNOLOGIE FAST 500 FINTECH-INSTELLING

CASESTUDY

PENETRATIETESTS VOOR FINANCIEEL SUCCES

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

EEN ROBOTISCHE PROCESAUTOMATISERING CASESTUDY

In de VS gevestigde toonaangevende leverancier van technologie-enabled kredietproducten en -diensten voor consumenten met een laag bankieren verbetert zijn beveiligingspositie met behulp van beveiligingspenetratietests

Probleemstelling

HOE ZUCI-SYSTEMEN HELPEN?

HOE ZUCI-SYSTEMEN HELPEN?

OPLOSSING

OPLOSSING

BEDRIJFSRESULTAAT

BEDRIJFSRESULTAAT

MET SECURITY PENTEST, LAAT ALLE BEVEILIGINGSGAPS IN UW . AAN TOEPASSING EN VERBETER UW VEILIGHEIDSHOUDING HOLISTISCH.

MET SECURITY PENTEST, LAAT ALLE BEVEILIGINGSGAPS IN UW . AAN
TOEPASSING EN VERBETER UW VEILIGHEIDSHOUDING HOLISTISCH.