Webapplicatie
penetratietest

Wat is een webapplicatie penetratietest?

Tijdens een webapplicatie penetratietest gaan we aan de hand van vooraf opgestelde onderzoeksvragen op zoek naar misconfiguraties, kwetsbaarheden en andere fouten met betrekking tot zowel de techniek als business logica in een webapplicatie.

Waarom een webapplicatie penetratietest?

Tegenwoordig worden steeds meer kritische bedrijfsprocessen beschikbaar gesteld in de vorm van een webapplicatie. Een groot voordeel hiervan is dat de webapplicatie op alle apparaten met een internet browser kan worden gebruikt, zoals een Windows Laptop, MacBook of een smartphone.

Als organisatie maak je ook veel gebruik van diverse webapplicaties. Denk aan een boekhoudprogramma, CRM, webshop, ERP-systeem, etc. Daarnaast ontwikkeld jouw organisatie misschien wel eigen webapplicaties voor intern gebruik of als dienst voor klanten. Al deze webapplicaties kunnen een interessant aanvalsoppervlak zijn voor een aanvaller, zeker wanneer de webapplicatie direct vanaf het internet te benaderen is.

Een penetratietest geeft je inzicht in welke fouten en kwetsbaarheden aanwezig zijn, hoe een aanvaller hier misbruik van kan maken, wat het risico en de impact is en hoe deze zijn op te lossen.

Black box

Bij een black box aanpak simuleren we een externe kwaadwillende die nagenoeg geen voorkennis heeft over de webapplicatie of de werking ervan. Hiermee voeren we een realistische simulatie uit, maar bestaat de kans dat complexe en diepgaande fouten of kwetsbaarheden niet kunnen worden gedetecteerd.

✔️ Aanvalsperspectief van een echte aanvaller

✖️ Kans op niet detecteren van kwetsbaarheden is aanwezig

Onze Aanpak

Voordat we starten met het onderzoek willen we de webapplicatie goed begrijpen. Denk bijvoorbeeld aan het doel, de omvang en de functionaliteiten van de applicatie. Met deze informatie kunnen we je beter adviseren.

Zodra we een goed inzicht hebben van de webapplicatie definiëren we samen de onderzoeksvragen en kijken we welke aanpak het beste past bij jouw vraag. Hieronder zetten we de meest voorkomende aanpakken op een rijtje. Natuurlijk zijn dit slechts richtlijnen. We zullen onze aanpak altijd afstemmen op jouw wensen.

Grey box

Met een grey box aanpak deel je gelimiteerde informatie over de webapplicatie, zoals bijvoorbeeld over de werking van de applicatie en eventuele documentatie ervan. Daarnaast is het gangbaar om diverse accounts aan te leveren met diverse rollen. Zo kunnen we bijvoorbeeld het rechtensysteem testen op fouten.

✔️ Met beperkte informatie en toegang kunnen we diverse realistische scenario’s testen

✖️ Complexe kwetsbaarheden kunnen niet altijd worden gedetecteerd

White box

Bij een white box aanpak deel je veel informatie met ons over de werking van de applicatie. Met deze informatie kunnen wij optimaal testen en zo veel mogelijk kwetsbaarheden boven water halen. Doorgaans wordt bij een White Box aanpak onder andere de broncode, documentatie en gebruikersaccounts aangeleverd.

✔️ Inzage in documentatie en code verhoogt de kans op het identificeren van complexe kwetsbaarheden

✖️ Meest tijdsintensieve optie

Laten we kennismaken!

Ben je benieuwd naar de mogelijkheden of wil je graag sparren over hoe we je kunnen helpen? Stuur ons een bericht via het contactformulier. We nemen snel contact met je op!