Website en webapplicatie pentest icon

Website of webapplicatie pentest

Wat is een website of webapplicatie pentest?

Een webapplicatie is een website waarop je acties kan uitvoeren en de server informatie kan verwerken. Denk bijvoorbeeld aan een contactformulier, waarbij een gebruiker het formulier invult en de server ervoor zorgt dat de contactinformatie bij de beheerder terechtkomt.

Tijdens een pentest op een website of webapplicatie gaan we aan de hand van vooraf opgestelde onderzoeksvragen op zoek naar misconfiguraties, kwetsbaarheden en andere fouten zowel technisch als in de business logica.

Na afloop van het onderzoek ontvang je een rapportage die antwoord geeft op al je vragen met betrekking tot de beveiliging van de onderzochte website.

Waarom een pentest op een website of webapplicatie?

Tegenwoordig worden steeds meer kritische bedrijfsprocessen aangeboden als webapplicatie. Een groot voordeel hiervan is dat de webapplicatie op alle apparaten met een internetbrowser kan worden gebruikt, zoals een Windows-laptop, MacBook of smartphone.

Als organisatie maak je veel gebruik van diverse webapplicaties. Denk aan een boekhoudprogramma, CRM, webshop, ERP-systeem, enzovoort. Daarnaast ontwikkelt jouw organisatie misschien wel eigen webapplicaties voor intern gebruik of als dienst voor klanten. Al deze webapplicaties vormen een interessant aanvalsoppervlak voor aanvallers, vooral wanneer ze direct vanaf het internet te benaderen zijn.

Een pentest biedt inzicht in welke fouten en kwetsbaarheden aanwezig zijn, hoe een aanvaller hier misbruik van kan maken, wat de risico's en de impact zijn, en hoe deze op te lossen zijn.

Onze Aanpak

Voordat we starten met het onderzoek willen we de webapplicatie goed begrijpen. Denk hierbij aan het doel, de omvang en de functionaliteiten van de applicatie. Met deze informatie kunnen we je beter adviseren.

Zodra we een goed inzicht hebben inde webapplicatie, definiëren we samen de onderzoeksvragen en bekijken we welke aanpak het beste past bij jouw vraag. Hieronder zetten we de meest voorkomende aanpakken op een rijtje. Natuurlijk zijn dit slechts richtlijnen. We zullen onze aanpak altijd afstemmen op jouw wensen.

Black box icon

Black box

Bij een black box aanpak simuleren we een externe kwaadwillende die nagenoeg geen voorkennis heeft over de webapplicatie of de werking ervan. Hiermee voeren we een realistische simulatie uit, maar bestaat de kans dat complexe en diepgaande fouten of kwetsbaarheden niet kunnen worden gedetecteerd.

✔️ Aanvalsperspectief van een echte aanvaller

✖️ Kans op niet detecteren van kwetsbaarheden is aanwezig

Grey box icon

Grey box

Met een grey box aanpak deel je gelimiteerde informatie over de webapplicatie, zoals bijvoorbeeld over de werking van de applicatie en eventuele documentatie ervan. Daarnaast is het gangbaar om diverse accounts aan te leveren met diverse rollen. Zo kunnen we bijvoorbeeld het rechtensysteem testen op fouten.

✔️ Met beperkte informatie en toegang kunnen we diverse realistische scenario’s testen

✖️ Complexe kwetsbaarheden kunnen niet altijd worden gedetecteerd

White box icon

White box

Bij een white box aanpak deel je veel informatie met ons over de werking van de applicatie. Met deze informatie kunnen wij optimaal testen en zo veel mogelijk kwetsbaarheden boven water halen. Doorgaans wordt bij een White Box aanpak onder andere de broncode, documentatie en gebruikersaccounts aangeleverd.

✔️ Inzage in documentatie en code verhoogt de kans op het identificeren van complexe kwetsbaarheden

✖️ Meest tijdsintensieve optie

Laten we kennismaken!

Ben je benieuwd naar de mogelijkheden of wil je graag sparren over hoe we je kunnen helpen? Stuur ons een bericht via het contactformulier. We nemen snel contact met je op!