| dc.contributor.advisor | Morrison, Donn | |
| dc.contributor.author | Madsen, Jakob Lønnerød | |
| dc.contributor.author | Ikin, Sebastian Anthony | |
| dc.date.accessioned | 2021-09-15T16:46:26Z | |
| dc.date.issued | 2021 | |
| dc.identifier | no.ntnu:inspera:83510435:83529058 | |
| dc.identifier.uri | https://hdl.handle.net/11250/2778042 | |
| dc.description.abstract | I dette prosjektet har vi forsøkt å utføre en mer smidig versjon av PTES mens vi gjennomførte en penetrasjonstest på helse-teknologiselskapet Picterus. Den sentrale forskjellen fra den etablerte standarden har vært å dele de forskjellige PTES-fasene i mer generelle arbeidsenheter kalt Recon og Exploit for å passe bedre til hjemmearbeid grunnet COVID-19.
Ved å bruke en smidig metodikk og følge PTES ga oss en høy testdekning i OWASP Web Application Security Testing Checklist. Totalt fant vi 17 problemer blant de 126 testene vi utførte på Picterus plattformer, av disse ble det bare gitt en høy risikovurdering. Syv tester fikk en moderat risikovurdering og ni hadde lav risiko.
Sammen med dokumentasjon for alle sårbarheter vi fant, fikk Picterus en teknisk rapport og et sammendrag. Disse dokumentene inkluderer passende risikovurderinger, trinn for å gjengi funnene våre, anbefalinger om hvordan de kan rette dem og hvordan de kan motvirke dem i fremtiden.
Vi fant at vår tilnærming fungerte bra i en digital setting mens vi fortsatt var smidige. De potensielle fordelene med vår tilnærming bør testes i et mer tradisjonelt arbeidsmiljø og kan forbedres ved å være mer iterative. Selv om disse forbedringene er mulige, fant vi ut at prosessen vår fanget det beste fra begge verdener i stor grad, slik at vi kunne være relativt fleksible mens vi fortsatt brukte en mer formell standard. Fra et Lean perspektiv lot vår tilnærming oss å unngå køer ved å fordele arbeidet jevnt og ytterligere eliminere unødig dokumentasjon ved å strukturere leveranser våre på en klientorientert måte. | |
| dc.description.abstract | For this project, we have attempted to perform a more agile version of the PTES while conducting a penetration test on the health-tech company Picterus. The central difference from the established standard has been dividing the various PTES phases into more general work units named Recon and Exploit to better fit the remote setting of COVID-19.
Using an agile methodology and following the PTES gave us a high test coverage in the OWASP Web Application Security Testing Checklist. In total we found 17 issues among the 126 tests we performed on Picterus's platforms, of these only one was given a high risk rating. Seven tests were given a moderate risk rating and nine were low risk.
Together with documentation for all vulnerabilities we found, Picterus was given a technical report and an executive summary. These documents include steps to reproduce our findings, recommendations on how to correct them and how to proceed in the future. These documents also include appropriate risk ratings to better mitigate the uncertain aspects of security.
We found that our approach worked well in a remote setting while still remaining agile. The potential benefits of our approach should be tested in a more traditional working environment and can be improved by being more iterative. Although these improvements are possible, we found that our process captured the best of both worlds to a large degree, allowing us to remain relatively flexible while still using a higher-level standard. From a Lean perspective our approach allowed us to avoid work queues by compartmentalization and further eliminating waste by structuring our deliveries in a client-oriented manner. | |
| dc.language | eng | |
| dc.publisher | NTNU | |
| dc.title | Agile Security Audit of Picterus | |
| dc.type | Bachelor thesis | |
