Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een webapplicatie pentest

Icon van een webapplicatie pentest

Bijna elke organisatie levert haar diensten tegenwoordig via een webapplicatie. Denk aan webshops, online bankieren, bedrijfsapplicaties en API’s. Die afhankelijkheid heeft een keerzijde: elke webapplicatie die online staat, is ook een mogelijk doelwit voor aanvallers.

Webapplicaties verwerken dagelijks veel gevoelige gegevens, zoals klantinformatie, betaalgegevens en bedrijfsgeheimen. Moderne applicaties zijn opgebouwd uit allerlei technieken en frameworks, zoals React, Angular en Laravel. Hoe complexer zo’n applicatie, hoe meer plekken waar een zwakke plek kan ontstaan.

Een webapplicatie pentest (ook wel webapplicatie pen-test, webapplicatie penetratietest, website pentest, website pen-test of website penetratietest genoemd) is een gecontroleerde aanval op uw webapplicatie door ethische hackers. Wij bootsen realistische aanvalsscenario’s na en brengen zo de kwetsbaarheden in kaart, voordat kwaadwillende hackers ze vinden.

Waarom en wanneer is een webapplicatie penetratietest belangrijk?

Een webapplicatie is vaak het visitekaartje van uw organisatie naar buiten toe. Loopt zo’n applicatie een geslaagde aanval op, dan kan dat leiden tot een datalek met gevoelige klant- en bedrijfsgegevens, tot financiële schade door diefstal of fraude, en tot verstoring van uw bedrijfsprocessen. De schade aan het vertrouwen van uw klanten is daarbij vaak het lastigst te herstellen.

Een webapplicatie penetratietest is in de volgende situaties verstandig:

  • Bij de lancering van een nieuwe webapplicatie of website, na een grote update of na een overstap naar nieuwe techniek.
  • Om te voldoen aan ISO 27001, PCI DSS, andere securitystandaarden of de AVG.
  • Bij een vermoeden van een incident, na een datalek of gewoon als preventieve maatregel.
  • Voorafgaand aan een fusie, bij uitbreiding van uw digitale dienstverlening of voor uw verzekering.
  • Als vast onderdeel van uw beveiligingsbeleid, jaarlijks of elk half jaar.

Het is verstandig om elk jaar of om het jaar van pentestpartij te wisselen. Een andere ethical hacker heeft zijn eigen specialisatie en aanpak, en ziet daardoor kwetsbaarheden die bij een eerdere test mogelijk gemist zijn.

Welke vormen van webapplicatie penetratietests bestaan er?

Er zijn drie vormen van webapplicatie pentests. Ze verschillen vooral in hoeveel voorkennis de pentester vooraf krijgt.

Black box pentest (externe aanval)

icon van een blackbox pentest

Bij een black box penetratietest kruipt de pentester in de huid van een aanvaller zonder voorkennis van de webapplicatie. Dat komt het dichtst bij de situatie waarin een echte cybercrimineel van buitenaf probeert binnen te komen.

  • Geen toegang tot de broncode of interne documentatie
  • De pentester werkt vanuit het perspectief van een externe hacker
  • De meest realistische simulatie van een echte cyberaanval

Grey box pentest (beperkte toegang)

icon van een greybox pentest

Een grey box penetratietest zit tussen black box en white box in. De pentester krijgt beperkte informatie en toegang. Zo blijft de test realistisch, maar verloopt hij wel efficiënter.

  • Toegang tot gewone gebruikersaccounts
  • Basisinformatie over de functies van de applicatie
  • De Web Application Firewall (WAF) kan eventueel worden uitgezet
  • Een goede balans tussen realisme en efficiëntie
  • De meest gekozen vorm voor een webapplicatie pentest

White box pentest (volledige toegang)

icon van een whitebox pentest

Bij een white box penetratietest krijgt de pentester toegang tot alle beschikbare informatie, inclusief de broncode en beheerdersaccounts. Dit levert het meest grondige onderzoek op.

  • Volledige toegang tot de broncode en documentatie
  • Testen met verschillende gebruikersrollen en rechten
  • Grondige analyse van alle functies
  • De meest tijdsintensieve, maar ook de meest complete vorm
  • Een goede keuze voor belangrijke applicaties en voor compliance

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • OWASP-methodologie - Testing volgens OWASP Top 10 en OWASP Web Security Testing Guide met Burp Suite en handmatige exploitatie
  • Direct contact - Geen accountmanagers, spreek direct met pentesters die uw test uitvoeren
  • Flexibiliteit - Pen-tests en penetratietests vaak binnen 2-3 weken te plannen

Meer over onze aanpak en expertise op onze over ons pagina.

Klaar om uw webapplicatie te laten testen?

Wij brengen in kaart welke aanvalspaden in uw applicatie open staan en wat aanvallers daarmee kunnen bereiken. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over webapplicatie penetratietests

Wat kost een webapplicatie pentest?

De prijs van een webapplicatie pen-test hangt af van de scope, de grootte van de applicatie en eventueel maatwerk. Na een vrijblijvend intakegesprek stellen wij een voorstel op dat aansluit bij uw situatie.

Welke webapplicatie pentest certificeringen zijn er?

Er zijn verschillende erkende certificeringen voor webapplicatie penetratietesters:

  • OSCP - Offensive Security Certified Professional
  • OSWA - Offensive Security Web Assessor
  • OSWE - Offensive Security Web Expert
  • eWPT - eLearnSecurity Web Application Penetration Tester
  • eWPTX - eLearnSecurity Web Application Penetration Tester eXtreme
  • HTB CWES - Hack The Box Certified Web Exploitation Specialist
  • HTB CWEE - Hack The Box Certified Web Exploitation Expert
  • BSCP - Burp Suite Certified Practitioner

Met deze certificeringen toont een pentester aan dat hij webapplicaties op een gedegen manier kan onderzoeken.

Welke methodieken worden er gebruikt bij een webapplicatie pentest?

Bij webapplicatie penetratietests worden verschillende internationaal erkende methodieken gebruikt:

  • PTES - Penetration Testing Execution Standard
  • WSTG - OWASP Web Security Testing Guide

Daarnaast houden wij rekening met de OWASP Top 10, de NCSC-richtlijnen, CWE (Common Weakness Enumeration) en CVSS (Common Vulnerability Scoring System), zodat de test volledig is.

Welke tools worden er gebruikt bij een webapplicatie pentest?

Bij webapplicatie penetratietests worden verschillende professionele tools gebruikt:

  • Burp Suite - Webproxy voor traffic analyse en manipulatie
  • Nmap - Netwerk scanning en service detectie
  • Gobuster - Directory en file enumeration
  • SQLMap - Geautomatiseerde SQL-injectie detectie en exploitatie
  • TestSSL - SSL/TLS configuratie testing
  • Nuclei - Vulnerability scanner voor webapplicaties
  • Nikto - Web server vulnerability scanner
  • OWASP ZAP - Open source web application security scanner
  • Wfuzz - Web fuzzer voor directory en parameter enumeration

Wij combineren deze tools altijd met handmatig onderzoek door ervaren ethische hackers.

Hoe lang duurt een webapplicatie penetratietest?

De duur van een webapplicatie pen-test hangt af van de complexiteit en de gekozen testvorm. Gemiddeld duurt het onderzoek tussen de 5 dagen en 3 weken, afhankelijk van de scope.

  • Black box pentest: gemiddeld 5 dagen
  • Grey box pentest: gemiddeld 1-2 weken
  • White box pentest: gemiddeld 2-3 weken

Voor organisaties met een beperkt budget bieden wij ook een timeboxed pentest aan. We kijken dan hoeveel tijd uw budget toelaat en richten ons op de belangrijkste en snelst te vinden bevindingen. Dat is een goede start voor organisaties die nog geen pentest hebben laten doen, of die met weinig budget toch iets aan hun beveiliging willen doen.

Wat zijn de meest voorkomende kwetsbaarheden bij webapplicaties?

De meest voorkomende kwetsbaarheden bij webapplicaties zijn vastgelegd in de OWASP Top 10:

  1. A01:2021 - Broken Access Control - Autorisatie kwetsbaarheden, IDOR (Insecure Direct Object References)
  2. A02:2021 - Cryptographic Failures - Zwakke SSL/TLS versies en ciphers
  3. A03:2021 - Injection - SQL injection, XSS (Cross-Site Scripting), XXE (XML External Entity), SSTI (Server-Side Template Injection)
  4. A04:2021 - Insecure Design - File upload kwetsbaarheden, LFI (Local File Inclusion), business logic flaws
  5. A05:2021 - Security Misconfiguration - Ontbrekende security headers, onveilige standaard configuraties, information disclosure
  6. A06:2021 - Vulnerable and Outdated Components - Verouderde en kwetsbare software, libraries en frameworks
  7. A07:2021 - Identification and Authentication Failures - Sessie kwetsbaarheden, zwakke authenticatie, CSRF (Cross-Site Request Forgery)
  8. A08:2021 - Software and Data Integrity Failures - Onveilige CI/CD pipelines, supply chain attacks
  9. A09:2021 - Security Logging and Monitoring Failures - Ontbrekende logging en monitoring
  10. A10:2021 - Server-Side Request Forgery (SSRF) - Server-side request forgery

Deze kwetsbaarheden vormen de basis van elke webapplicatie penetratietest. Wij lopen ze stap voor stap na volgens de OWASP Testing Guide.