Het bedrijf Computest heeft alle tests uitgevoerd vanaf haar eigen IP-adressen. Deze informatie is bruikbaar wanneer systeembeheerders willen controleren of bepaalde aanvallen zijn opgemerkt door bijvoorbeeld intrusion detection systemen of in logbestanden terecht zijn gekomen. Bij de tests is gebruik gemaakt van geautomatiseerde en handmatige controles. In de appendices is ruwe uitvoer van geautomatiseerde controles opgenomen. De aangetroffen kwetsbaarheden zijn door Computest voorzien van een kwetsbaarheidsscore. Hiervoor wordt gebruik gemaakt van het Common Vulnerability Scoring System (CVSS), versie 3. Meer informatie over dit scoresysteem is te vinden op http://www.first.org/cvss/. Iedere kwetsbaarheid kan een score tussen de 1 en 10 krijgen, waarbij 10 de ernstigste kwetsbaarheid aangeeft. Aan het eind van het rapport worden de kwetsbaarheden gesorteerd en op score weergegeven waardoor direct inzichtelijk is welke technische impact de verschillende kwetsbaarheden hebben. Dit kan als uitgangspunt dienen bij het vaststellen van prioriteiten bij het oplossen van de kwetsbaarheden.
De scope van deze testen verschilt ieder jaar. Voorgaand aan elke test wordt de scope uiteengezet voor een volledige benadering van de te testen aspecten. De scope wordt beschreven in de rapportages.
De uitkomsten van de testen worden teruggekoppeld en indien er aspecten worden gevonden, dan worden deze natuurlijk opgelost. Zodra dit is opgelost wordt dit weer getest, net zo lang tot dat de oplossing gevonden is. Uit veiligheidsoverwegingen worden de detailresultaten uit deze tests niet openbaar gemaakt. Omdat we met Computest een complete test doen voor alle onderdelen van de AFAS applicatie, zijn deze opgenomen in één rapport. (De gepubliceerde rapporten zijn geschoond van detailinformatie omdat er vertrouwelijke zaken in staan.)
Voor de AFAS Online Megatest 2023 kan hier het rapport worden gedownload.
Voor de AFAS IT infrastructuur kan hier de third party mededeling van Computest worden gedownload.
In het geval je een security test op je eigen omgeving wil uit (laten) voeren, dan is er de mogelijkheid om dit zelf op eigen kosten te organiseren. Bij voorkeur stemmen we dat in goed overleg met elkaar af, maar dat is niet onder alle condities verplicht. Bekijk voor meer informatie over het zelf uitvoeren van security testen ons Responsible Disclosure beleid.