De Microsoft Office / Office 365 maakt steeds meer gebruik van moderne talen zoals JavaScript. Zo is er bijvoorbeeld een JavaScript API waarmee een Word-document of Excel-bestand kan worden gelezen en aangepast. Via zogenaamde 'Add Ins' kunnen in JavaScript/HTML geschreven plugins worden toegevoegd aan een bestaande Office applicatie. Hier is ook een AppStore (AppSource) voor beschikbaar. Hoewel Microsoft een policy heeft voor het toelaten van Apps aan deze winkel is deze constructie vanuit beveiligingsperspectief 'interssant'. Immers, code van een derde partij krijgt toegang tot de inhoud van een mogelijk gevoelig intern document. Doelstelling van dit onderzoek is om de beveiliging van deze JavaScript Addins en bijbehorende AppStore te onderzoeken. Typische vragen voor het onderzoek zijn:
* Hoe werkt de JavaScript Addin voor een Office applicatie en hoe is welke beveiliging geimplementeerd?
* Wat zijn scenario's waarbij een kwaadwillende via een JavaScript plugin toegang kan krijgen tot de inhoud van een bijvoorbeeld Word-document?