Onze eerste PEN-test

Feest! We worden in oktober 10 jaar! In de afgelopen 10 jaar is Urban Heroes behoorlijk veranderd, in positieve zin.
We merken dat we als bedrijf elk jaar volwassener worden: processen worden beter ingericht, websites worden mooier en de online marketing gaat constant naar een hoger niveau.
Wat we óók merken is dat het type klant dat bij ons terecht komt daardoor verandert.

De klanten en de projecten worden steeds groter. Dit soort projecten gaan vanzelfsprekend gepaard met meer eisen en wensen op bijvoorbeeld het gebied van veiligheid.

Onze websites en veiligheid

Nou zeggen we natuurlijk altijd dat onze systemen goed in elkaar zitten en veilig zijn, maar in één van onze recent afgeronde projecten vroeg de klant ons om dat te bewijzen door een onafhankelijk PEN-test uit te laten voeren… 

Ondanks dat we wel weten wát een PEN-test is, hebben we onze systemen nog nooit laten “PEN-testen”... Geen probleem, voor alles is een eerste keer!

De PEN-test opdracht

Vol zelfvertrouwen startten we met een simpele zoekopdracht in Google. We hadden al snel 3 onafhankelijke partijen gevonden om een offerte aan te vragen.

Van twee partijen kregen we direct reactie in de vorm van een telefoontje om de wensen helemaal in kaart te brengen. In overleg met de opdrachtgever hebben we 1  partij geselecteerd die de test voor ons jaarlijks uit gaat voeren.

De concrete opdracht: ons CMS (Drupal) en custom code (Symfony), die voor het project is opgezet, laten testen in een white-box en grey-box PEN-test scenario.

Wil je weten wat de white- en grey-box test inhoud en waarom we geen black-box hebben laten uitvoeren? Lees dit artikel: wat is een PEN-test?

 

Onze ervaring voor, tijdens en na het testen

Over de begeleiding van de PEN-test partij zijn we bijzonder te spreken. We zijn door hen volledig door het proces geleid. De planning, de benodigde input vanuit Urban Heroes en communicatie waren super duidelijk,

Vooraf hebben we een korte introductie gegeven over de systemen die getest moesten gaan worden met bijbehorende koppelingen en functionaliteiten. Op aanvraag van de PEN-test partij hebben we voor elke gebruikersrol een account aangemaakt waarmee ze de grey-box test hebben kunnen uitvoeren.

De PEN-test resultaten

Tijdens het proces zijn er een aantal punten naar boven gekomen: aantal medium en low severity, twee met de classificatie high severity en geen ciritcal severity problemen.

Omdat we de PEN-test hebben laten uitvoeren vóór de livegang van de site hebben we deze punten netjes kunnen oplossen.

Uit de hertest zijn daarom ook geen originele of nieuwe problemen meer naar voren gekomen.

Conclusie

Het laten PEN-testen van onze software was nieuw en vooraf best spannend, je weet immers niet wat eruit gaat komen. Toch is het leuk om in het eindrapport te zien dat onze software net zo veilig is als dat we beweren.

Zo kunnen we vol vertrouwen doorgaan met nóg volwassener worden!