GMTA ApS
Gammel Kongevej 1, 2
1610 København V

All phone numbers and website URLs remain the same.

Læs mere om OWASP og deres aktuelle top 10 her:
http://www.owasp.org/index.php/Top_10_2010-Main

Herunder vil jeg gennemgå den aktuelle top 10 over indsatsområder og hvad vi gør for at sikre os.

A1: Injection
Vi benytter en sikker grænseflade i form af en database-ORM, der uden undtagelser renser alt brugerinput før det rammer databasen.

A2: Cross-Site Scripting (XSS)
Alt HTML der sendes til brugerne bliver kørt igennem et filter der erstatter diverse tegn af betydning til deres harmløse alternativ. Hvis der er brug for at sende råt HTML eller Javascript direkte til en browser, skal dette specifikt markeres tilladt i systemet.

A3: Broken Authentication and Session Management
Alle brugeradgangskoder opbevares ulæseligt i form af en envejs-hash. Vores sessions-ID’er findes kun i HttpOnly-cookies og er beskyttede mod ændringer. Et sessions-ID skrives således aldrig ud i HTML eller Javascript. Derudover er al sessions-kommunikation krypteret da det sker over en SSL-forbindelse.

A4: Insecure Direct Object References
For at sikre os mod at en kunde ved en fejl vil kunne tilgå andre kunders objekter, sker alle kald gennem en kundeproxy der kontrollere at den aktuelle kunde kun får adgang til deres data. Det er således ikke muligt at der kan opstå fejl.

A5: Cross-Site Request Forgery (CSRF)
Alle POST-formularer i Ubivox bliver CSRF-valideret på baggrund af en cookie på netop den maskine der forespurgte formularen. Det gør det umuligt for andre sider at snyde dig til at POST’e formularer til systemet.

A6: Security Misconfiguration
Alle servere der er en del af Ubivox-miljøet opdateres ugentligt med sikkerhedsopdateringer til serversoftwaren. Alle system-services der ikke benyttes er deaktiveret. Ubivox-systemet vil aldrig præsentere dig eller dine brugere for en fejlside der indeholder kompromitterende systemdata, men i stedet vise en neutral fejlside der informerer om at forespørgslen ikke blev gennemført (fejl 500).

A7: Insecure Cryptographic Storage
Ubivox’s databasebackup er når den opbevares udenfor de sikre hostingfaciliteter krypteret med en stærk algoritme.

A8: Failure to Restrict URL Access
Alle sider i Ubivox er gennemgået for adgangsrestriktioner og uautentificere forespørgsler har kun adgang til uautentificerede sider.

A9: Insufficient Transport Layer Protection
Al kommunikation mellem vores kunder og systemet foregår over SSL. Det samme gør sig gældende for modtagere. Vi benytter HSTS for at informere browsere om at der ikke bør forespørges noget på Ubivox-systemet ukrypteret. Certifikatet udstedes årligt af RapidSSL og fornyes senest 30 dage før udløb.

A10: Unvalidated Redirects and Forwards
Vi benytter ikke parametiserede URL’er i viderestillinger fra nogen sider. Alle viderestillinger kommer direkte fra systemet selv.

The website redecoration also displays our new company logo, which we are very content with.