Webapplicaties pentesten

Een pentest is de beste manier om gaten in de beveiliging van web applicaties te vinden. Met gesimuleerde aanvallen wordt gevoelige data losgepeuterd. Zo komt u er achter waar de veiligheidsrisico’s zitten van de gehele webapplicatie. Dat is dus inclusief onderdelen zoals de broncode, de database en het back-end netwerk. Van daaruit prioriteren we uw zwakke plekken en bedreigingen. Dit gebeurt op basis van kans x impact = risico. Zo kunt u deze één voor één oplossen.

Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!

Onvio is ISO27001 gecertificeerd

Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.

Hoe werkt een webapplicatie pentest?

Een webapplicatie pentest draait met name om de software en alle plekken waar een eindgebruiker invoermogelijkheden heeft, maar ook het netwerk waar de applicatie wordt gehost wordt meegenomen in het proces. Wij helpen u graag om deze te beschermen.

Neem vrijblijvend contact op

Welke soorten Pentesten zijn er?

Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.

Bedrijfsnetwerk

Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren van binnenuit de organisatie.

Bedrijfsnetwerk pentest

(Web)applicaties

Applicaties en services zoals websites, financiële systemen en portals vormen een toegangsdeur naar gevoelige data. Vaak zelfs vanaf het internet, wat kan leiden tot toegang tot het interne bedrijfsnetwerk. Een Pentest haalt kwetsbaarheden in deze applicaties naar boven.

Webapplicaties Pentest

Mobiel & IoT Hardware

Mobiele Apps en IoT devices verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de apparaten en diensten.

IoT Hardware Pentest

Industrie / SCADA / ICS

Steeds vaker zijn industriële systemen gekoppeld aan het internet en bedrijfsnetwerken. Bijvoorbeeld SCADA systemen hebben vaak geen optimale beveiliging, wat ze een interessant doelwit maakt met een potentiële grote impact.

Audits en assessments

Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.

Wifi netwerken

Een WiFi verbinding is de ideale mogelijkheid voor hackers om uw netwerk binnen te dringen. Van buitenaf uw pand kan het signaal opgevangen worden door criminelen om zo op afstand rustig hun gang te gaan zonder op te vallen.

De 3 stappen

Wanneer wij uw webapplicatie(s) testen, doen wij dit in een aantal stappen.

Stap 1: Actieve en passieve verkenning

Deze verkenningsfase draait om uitgebreide informatieverzameling. De tester zoekt naar aanknopingspunten en informatie waarmee mogelijke zwakke punten van de webapplicatie uitgebuit kunnen worden.

Passieve verkenning betekent dat er informatie wordt verzameld die al online staat, zonder dat er interactie met de webapplicatie nodig is. Hiervoor zetten we bijvoorbeeld Google in en kijken we naar subdomeinen, linkjes en oudere versies van de applicatie.

De actieve verkenning draait juist wel om interactie met uw webapplicatie. Door actief te ‘prikken’ probeert de hacker dan een reactie van het systeem teweeg te brengen. Hier zijn allerlei verschillende methoden voor.

Stap 2: De aanval

De tweede stap bestaat uit daadwerkelijke aanvallen op het systeem. Hoe die aanvallen er precies uitzien is afhankelijk van de informatie die in fase 1 is verzameld. Het doel is om toegang te krijgen tot onderdelen van de applicatie die afgesloten zijn. Dit gehele proces wordt vastgelegd, inclusief de bevindingen en mogelijke doorgangen die tijdens een aanval zijn gevonden. Door middel van handmatige onderzoeken en hoge kennis worden alle mogelijkheden onderzocht, net zoals een echte hacker dat zou doen. Zo kunt u uw webapplicaties uiteindelijk veel beter beschermen tegen hackers.

Stap 3: Rapportage en aanbevelingen

Nadat de aanvalfase is afgerond en alle data is verzameld, bundelen wij dit voor u in een web applicatie pentest rapportage. Hierin ziet u precies wat onze bevindingen zijn, onderbouwd met de data en ervaringen uit de eerdere testfasen. Deze zetten wij voor u op een volgorde van prioriteit, zodat u de belangrijkste issues als eerst kunt oppakken.

Uiteraard voegen wij aan deze rapportage en bevindingen ook onze aanbevelingen toe. U krijgt dan een goed beeld van de stappen die nodig zijn om eventuele veiligheidsrisico’s tegen te gaan.

Neem vrijblijvend contact op

De verschillende testmethoden van een Pentest

Uw webapplicaties beveiligen dankzij een pentest voor webapplicaties gebeurt op basis van Blackbox, Greybox en Whitebox pentests. We beschrijven deze drie methoden hieronder in het kort.

Black box

Hierbij verplaatsen we ons in de rol van een hacker die verder geen interne kennis van de webapplicatie heeft. We gebruiken dus geen gegevens die niet publiekelijk beschikbaar zijn. Dit maakt de blackbox pentest ook de snelst uitvoerbare pentest, omdat er alleen van buitenaf wordt gezocht naar mogelijke kwetsbaarheden.

Grey box

Waar een Blackbox pentest wordt uitgevoerd zonder enige extra kennis, beschikt een tester bij een Greybox pentest over dezelfde kennis en toegang als een reguliere gebruiker. Soms zelfs met extra privileges binnen de applicatie, zoals bijvoorbeeld een manager ook zou kunnen hebben. Hierdoor ontstaan er meer mogelijkheden om kwetsbaarheden te testen vanuit het nieuwe perspectief.

White box

Waar er bij Greybox en Blackbox pentesten nog beperkingen zijn, is dit bij een Whitebox pentest niet meer het geval. Deze worden ook wel clear-box of open-box pentests genoemd. Met volledige toegang tot de broncode, architectuur, documentatie en alle andere aspecten van de webapplicatie wordt deze vorm van pentesten uitgevoerd, waarbij alle mogelijke kwetsbaarheden in kaart worden gebracht.

aws audit

Verbeteringen doorvoeren en veilig verder gaan

Het einddoel van een webapplicatie pentest is uiteraard om uw applicaties beter te beveiligen tegen hackers. Met de adviezen uit onze rapportage kunt u verbeteringen doorvoeren die hieraan bijdragen, zodat u in de toekomst veilig gebruik blijft maken van al uw webapplicaties!

Wilt u een Pentest laten uitvoeren op uw webapplicatie(s)? Onvio biedt specialisten die uw systemen net zoals echte cybercriminelen onder handen nemen. De Hackers van Onvio zijn gecertificeerd volgens de hoogste standaarden. Neem contact op, bel 070 213 25 33 of mail info@onvio.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.