Er wordt gebruik gemaakt van ongeautoriseerde mobiele code (ActiveX, Applets, Flash etc) en deze wordt uit een externe bron geladen.
Zie hier het request. Deze wordt al uitgevoerd zodra de applicatie wordt geladen.
Request
GET /scripts/a/ai.1.0.20.0.js HTTP/1.1
Host: az416426.vo.msecnd.net
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0
Accept: /
Accept-Language: en-US,en;q=0.7,nl;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Referer: https://bi-analytics-a.ba.uwv.nl/reportspbi/browse/
If-Modified-Since: Mon, 27 Aug 2018 19:51:11 GMT
If-None-Match: 0x8D60C567052632C
Response
HTTP/1.1 304 Not Modified
Access-Control-Allow-Origin: *
Access-Control-Expose-Headers: x-ms-request-id,Server,x-ms-version,Content-Length,Date,Transfer-Encoding
Age: 30
Cache-Control: public, max-age=600
Date: Tue, 25 Aug 2020 08:48:58 GMT
Etag: 0x8D60C567052632C
Expires: Tue, 25 Aug 2020 09:18:58 GMT
Last-Modified: Mon, 27 Aug 2018 19:51:11 GMT
Server: ECAcc (ama/8AEB)
Vary: Accept-Encoding
X-Cache: HIT
x-ms-blob-type: BlockBlob
x-ms-lease-status: unlocked
x-ms-request-id: 649be2f3-b01e-00c3-08bc-7a6da7000000
x-ms-version: 2009-09-19
Connection: close
Kan de leverancier aangeven of dit op een secure manier wordt uitgevoerd?
Kan de leverancier aangeven of de code conform Secure Software Development methoden is gemaakt?
In de code zijn comments gevonden die verwijzen naar het gebruik in de code van een verouderde versie van JQuery, v1.11.4. Deze verouderde versie staat bekend als gevoelig voor cross-scripting. Kan deze informatie worden verwijderd uit de comments?Kan een meer recente versie van JQuery, die ongevoelig is voor cross-scripting, worden opgenomen in een komende update?Biedt MS PowerBI Reportserver de mogelijkheid om alleen https verkeer toe te staan? Zo ja, hoe kan dit worden ingeregeld?