Het wordt stilaan een traditie. Ook dit jaar werden onze studenten 3ICT voor het vak data security gevraagd om elk een website te contacteren en die vervolgens door te lichten op vlak van veiligheid. Dat is geheel zonder resultaatsverbintenis, want het blijft een oefening, en uiteraard is de ene student ook de andere niet.
We hebben namelijk goeie, maar ook erg goeie en euh nog betere studenten. đ
Niet op onze site
Voor studenten is het niet evident om bereidwillige website-eigenaars te vinden. Met een mix van schroom of angst worden onze studenten op hun zoektocht wandelen gestuurd, helaas niet altijd met even goeie argumenten…
“Onze site mag niet getest worden, want we weten dat er veiligheidsproblemen zijn…”
“Onze site staat in productie, maar is nog in ontwikkeling. Liever dus geen testen…”
Uiteraard gaat onze dank uit naar de 60 website-eigenaars die we dit jaar wel bereid vonden om hun site onder de loep te laten nemen.
Waarom testen
Voor onze studenten is het uitvoeren van een pentest de ideale toepassing van de theorie rond data security die ze reeds zagen. Zo kent ook de volgende generatie ontwikkelaars en sysadmins de grootste valkuilen op het vlak van security. Voor de zoektocht wordt de OWASP top tien als leidraad gebruikt.
Voor wie twijfelt om de site al dan niet te laten testen: gewoon doen! Het past perfect binnen het GDPR-beleid van een bedrijf, het kan kosteloos via onze studenten, en het houdt je ontwikkelaars scherp. Voor meer en meer bedrijven is het zelfs gewoon verplicht om te voldoen aan richtlijnen of wetgeving waar ze aan onderhevig zijn.
De resultaten van de test (die liep tot 29 nov) lopen intussen binnen, en het is duidelijk dat deze test voor enkele bedrijfswebsites het verschil zal maken tussen wel of niet in de pers komen met een gĂȘnant datalek.
Maar ik loop voorop op een volgende blogpost, met een samenvatting van de geanonimiseerde resultaten..