Penetratietest van de ProctorExam website

Penetratietest van de ProctorExam website

Category : Uncategorized

In maart 2018 heeft het projectteam van de Universiteit van Hertfordshire, met name Dr. Stilianos Vidalis en zijn collega’s, de middelen opgezet om eventuele illegale penetratie van de ProctorExam-website te testen.

In het oorspronkelijke Erasmus+-projectvoorstel dat in maart 2016 werd ingediend, hadden we deze activiteit aangewezen als een belangrijk gebied dat moest worden onderzocht in overeenstemming met de vaststelling van toekomstige richtlijnen die in het eindverslag over “Intellectual Output 2 Security” moesten worden opgenomen. Het doel van deze oefening was om aan te tonen of een typische online student in staat zou zijn om toegang te krijgen tot een onbeschermd deel van de ProctorExam-servers en illegaal enig aspect van het online beoordelingssysteem te penetreren. Het ProctorExam systeem werkt natuurlijk met een eigen beveiligd systeem dat is ontworpen om typische professionele aanvallen en andere willekeurige pogingen om in te breken op hun site tegen te gaan.

De uitvoeringsnorm voor Penetration Testing (PTES) werd samen met de methodologieën van het Open Web Application Security Project (OWASP) gebruikt als basis voor het uitvoeren van de tests door Stilianos.

Het proces vereist de eerste goedkeuring van typische use cases en scenario’s om voorbeeld persona’s te identificeren van degenen die waarschijnlijk willen aanvallen en hun motivatie, om ofwel te stelen of gegevens opgeslagen op de site te wijzigen of ernstig belemmeren legitieme activiteit. Gedurende een periode van 24 uur werden vervolgens intensieve en aanhoudende pogingen ondernomen om de ProctorExam-servers illegaal te benaderen. Ongeoorloofde toegang was niet mogelijk, de “denial of service”-aanval was niet succesvol en er werd geen informatielek vastgesteld.

In het eindverslag van het project moet worden opgemerkt dat alle organisaties die zich hebben opgezet als aanbieders van beveiligde online-evaluaties, bestand moeten zijn tegen een soortgelijke gesimuleerde aanval om toekomstige gebruikers en partners ervan te verzekeren dat de evaluaties worden uitgevoerd in een veilige omgeving waar persoonsgegevens en prestatiegegevens van studenten worden beschermd en niet toegankelijk zijn voor onbevoegde gebruikers.


Leave a Reply