Webapplicatie pentesten
Een pentest is de beste manier om gaten in de beveiliging van web applicaties te vinden, ook wel een web pentest genoemd. Met gesimuleerde aanvallen wordt gevoelige data losgepeuterd. Zo komt u er achter waar de veiligheidsrisico’s zitten van de gehele webapplicatie. Dat is dus inclusief onderdelen zoals de broncode, de database en het back-end netwerk. Van daaruit prioriteren we uw zwakke plekken en bedreigingen. Dit gebeurt op basis van kans x impact = risico. Zo kunt u deze één voor één oplossen.
Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!
Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.
Hoe werkt een webapplicatie pentest?
Een webapplicatie pentest draait met name om de software en alle plekken waar een eindgebruiker invoermogelijkheden heeft, maar ook het netwerk waar de applicatie wordt gehost wordt meegenomen in het proces. Wij helpen u graag om deze te beschermen.
Welke soorten Pentesten zijn er?
Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.
Bedrijfsnetwerk
Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne of externe (wifi)netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren.
Bedrijfsnetwerk pentest(Web)applicaties
Webapplicaties en services zoals websites, financiële systemen en portals vormen dé toegangsdeur tot uw data en zelf uw interne infrastructuur. Een Pentest haalt kwetsbaarheden in deze webapplicaties naar boven.
Webapplicatie PentestMobiele Apps & API's
Mobiele Apps verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de Mobiele Apps.
IACS en OT
Toets de veiligheid van uw Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT) omgevingen met ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways of firewalls op kwetsbaarheden.
Industriële systemen pentestAudits en assessments
Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.
Audits en Assessments PentestIOT & Hardware
IoT devices en de hardware worden steeds slimmer en vormen een toegangspunt tot uw infrastructuur. Ze verwerken data en zijn vaak gekoppeld aan API's. Een Pentest onderzoekt fysiek de hardware en alle software en netwerkmogelijkheden.
IoT & Hardware PentestDe 3 stappen
Wanneer wij uw webapplicatie(s) testen, doen wij dit in een aantal stappen.
Stap 1: Actieve en passieve verkenning
Deze verkenningsfase draait om uitgebreide informatieverzameling. De tester zoekt naar aanknopingspunten en informatie waarmee mogelijke zwakke punten van de webapplicatie uitgebuit kunnen worden.
Passieve verkenning betekent dat er informatie wordt verzameld die al online staat, zonder dat er interactie met de webapplicatie nodig is. Hiervoor zetten we bijvoorbeeld Google in en kijken we naar subdomeinen, linkjes en oudere versies van de applicatie.
De actieve verkenning draait juist wel om interactie met uw webapplicatie. Door actief te ‘prikken’ probeert de hacker dan een reactie van het systeem teweeg te brengen. Hier zijn allerlei verschillende methoden voor.
Stap 2: De aanval
De tweede stap bestaat uit daadwerkelijke aanvallen op het systeem. Hoe die aanvallen er precies uitzien is afhankelijk van de informatie die in fase 1 is verzameld. Het doel is om toegang te krijgen tot onderdelen van de applicatie die afgesloten zijn. Dit gehele proces wordt vastgelegd, inclusief de bevindingen en mogelijke doorgangen die tijdens een aanval zijn gevonden. Door middel van handmatige onderzoeken en hoge kennis worden alle mogelijkheden onderzocht, net zoals een echte hacker dat zou doen. Zo kunt u uw webapplicaties uiteindelijk veel beter beschermen tegen hackers.
Stap 3: Rapportage en aanbevelingen
Nadat de aanvalfase is afgerond en alle data is verzameld, bundelen wij dit voor u in een web applicatie pentest rapportage. Hierin ziet u precies wat onze bevindingen zijn, onderbouwd met de data en ervaringen uit de eerdere testfasen. Deze zetten wij voor u op een volgorde van prioriteit, zodat u de belangrijkste issues als eerst kunt oppakken.
Uiteraard voegen wij aan deze rapportage en bevindingen ook onze aanbevelingen toe. U krijgt dan een goed beeld van de stappen die nodig zijn om eventuele veiligheidsrisico’s tegen te gaan.
De verschillende testmethoden van een Pentest
Uw webapplicaties beveiligen dankzij een pentest voor webapplicaties gebeurt op basis van Blackbox, Greybox en Whitebox pentests. We beschrijven deze drie methoden hieronder in het kort.
Black box
Hierbij verplaatsen we ons in de rol van een hacker die verder geen interne kennis van de webapplicatie heeft. We gebruiken dus geen gegevens die niet publiekelijk beschikbaar zijn. Dit maakt de blackbox pentest ook de snelst uitvoerbare pentest, omdat er alleen van buitenaf wordt gezocht naar mogelijke kwetsbaarheden.
Grey box
Waar een Blackbox pentest wordt uitgevoerd zonder enige extra kennis, beschikt een tester bij een Greybox pentest over dezelfde kennis en toegang als een reguliere gebruiker. Soms zelfs met extra privileges binnen de applicatie, zoals bijvoorbeeld een manager ook zou kunnen hebben. Hierdoor ontstaan er meer mogelijkheden om kwetsbaarheden te testen vanuit het nieuwe perspectief.
White box
Waar er bij Greybox en Blackbox pentesten nog beperkingen zijn, is dit bij een Whitebox pentest niet meer het geval. Deze worden ook wel clear-box of open-box pentests genoemd. Met volledige toegang tot de broncode, architectuur, documentatie en alle andere aspecten van de webapplicatie wordt deze vorm van pentesten uitgevoerd, waarbij alle mogelijke kwetsbaarheden in kaart worden gebracht.
Verbeteringen doorvoeren en veilig verder gaan
Het einddoel van een webapplicatie pentest is uiteraard om uw applicaties beter te beveiligen tegen hackers. Met de adviezen uit onze rapportage kunt u verbeteringen doorvoeren die hieraan bijdragen, zodat u in de toekomst veilig gebruik blijft maken van al uw webapplicaties!
Wilt u een Pentest laten uitvoeren op uw webapplicatie(s)? Onvio biedt specialisten die uw systemen net zoals echte cybercriminelen onder handen nemen. De Hackers van Onvio zijn gecertificeerd volgens de hoogste standaarden. Neem contact op, bel 070 213 25 33 of mail info@onvio.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.