Webapplicatie pentesten

De beveiliging van (persoons)gegevens in uw webapplicatie is van groot belang. Weet u hoe goed u momenteel beschermd bent?

Als u daar zeker van wilt zijn, kan Anovum uw webapplicatie testen met onze op maat gemaakte diensten, gebaseerd op de OWASP WSTG-standaard en het MIAUW-framework.

Boek nu uw adviesgesprekDownload hand-out over pentesting
Wat kunt u nog meer testen?

Scopevoorbeelden

Tijdens een webapplicatie pentest kunnen verschillende soorten applicaties worden getest, zoals bijvoorbeeld:

  • E-commerceplatformen
  • Contentmanagementsystemen (CMS)
  • Klantportalen
  • Online boekingssystemen
  • Webgebaseerde financiële applicaties

 

  • Learning management systemen (LMS)
  • Intranettoepassingen
  • Software-as-a-service (SaaS)-applicaties
  • Gezondheidsinformatiesystemen (HIS)

Pentesting volgens de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde (MIAUW)

MIAUW is een open-source framework dat een gestructureerde aanpak biedt voor informatiebeveiligingsonderzoek en pentesten. Het framework richt zich op transparantie, reproduceerbaarheid en hoge kwaliteit van resultaten. Anovum is een actieve bijdrager aan MIAUW en past deze methodologie toe in zijn pentesten. Dit maakt het mogelijk om organisaties op een effectieve en betrouwbare manier te ondersteunen bij het identificeren en mitigeren van risico’s.

Meer lezen over MIAUW
miauw-icon

Welke aanvalscenario’s zijn mogelijk voor webapplicatie pentesten?

Het meest voorkomende aanvalsscenario voor het testen van webapplicaties dat Anovum hanteert, is een combinatie van Black Box en Grey Box testing. Hieronder geeft Anovum een illustratief voorbeeld van beide aanvalsscenario’s. Tijdens een intakegesprek worden de specifieke wensen van de klant in kaart gebracht, zodat Anovum het meest geschikte scenario kan selecteren voor het testen van de webapplicatie.

Black Box

Tijdens een Black Box-test benaderen wij uw webapplicatie zonder toegang tot interne informatie of accounts. Met technieken zoals Open Source Intelligence (OSINT) verzamelen we publiek beschikbare gegevens, zoals subdomeinen en e-mailadressen, om mogelijke kwetsbaarheden en aanvalspunten te identificeren.

Grey Box

Bij een Grey Box-test onderzoeken we de beveiliging van uw webapplicatie vanuit het perspectief van een gebruiker met beperkte toegang, zoals een basisaccount. Hierbij wordt getest of het mogelijk is om gevoelige gegevens in te zien, onbedoelde acties uit te voeren of gebruikersrechten te escaleren, zoals toegang tot beheerdersfuncties.

White Box

Bij een White Box-test analyseren we de webapplicatie met toegang tot broncode en configuratiegegevens. Dit stelt ons in staat om niet alleen beveiligingslekken in de applicatielogica te ontdekken, maar ook in de implementatie van softwareafhankelijkheden. Hierdoor kunnen kwetsbaarheden vroegtijdig worden geïdentificeerd en aangepakt.

Industriestandaarden penetratie testen

Voor webapplicatie pentesten maakt Anovum gebruik van de Web Security Testing Guide (WSTG). Deze richtlijn helpt ons om een gestructureerde en grondige beoordeling van uw applicatie uit te voeren, waarbij de nieuwste beveiligingsnormen en praktijken worden toegepast.

Voorbeeldrapportage van een web-applicatie pentest

Anovum heeft een voorbeeldrapportage (beschikbaar in zowel Nederlands als Engels) van een black box pentest. In deze rapportage heeft Anovum een pentest uitgevoerd op een fictieve omgeving, waarbij de kwetsbaarheden helder en inzichtelijk zijn gemaakt.
Vraag de voorbeeldrapportage aan

Welke systemen kunt u laten testen door de experts van Anovum?

De onderzoekers van Anovum controleren onder andere de technische weerbaarheid van (web)applicaties, websites, IT- en OT-infrastructuren, API-koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten testen, dan gaat Anovum graag met u in gesprek om de mogelijkheden te bespreken.

BlackBox pentest

Met beperkte informatie zal Anovum een gedetailleerd overzicht creëren van kwetsbaarheden in de publiek toegankelijke IT-infrastructuur. Door middel van open bronnen onderzoek (OSINT) wordt zoveel mogelijk informatie verzameld om potentiële kwetsbaarheden op te sporen.

White Box pentest

Het testen van de interne infrastructuur is bij Anovum minstens zo belangrijk als het testen van de externe omgeving. In dit scenario wordt nagebootst wat een kwaadwillende aanvaller zou kunnen doen als ze toegang krijgen tot het interne netwerk, bijvoorbeeld door middel van een phishing- of social engineering-aanval. We onderzoeken daarbij welke kwetsbaarheden aanwezig zijn en of het mogelijk is om de privileges te verhogen tot beheerdersrechten.

Wat is de OWASP WSTG standaard?

De OWASP Web Security Testing Guide (WSTG) is een uitgebreide handleiding voor het testen van de beveiliging van webapplicaties. Het biedt een gestructureerde aanpak om kwetsbaarheden in webapplicaties te identificeren en te analyseren. Anovum gebruikt de OWASP WSTG als standaard voor het uitvoeren van pentests op webapplicaties, zodat onze klanten verzekerd zijn van een grondige en gestandaardiseerde beveiligingstest.

Wat is de tijdsduur van een pentest?

De duur van een pentest bij Anovum is sterk afhankelijk van de complexiteit van de te testen omgeving en de gemaakte afspraken met de opdrachtgever over de in te zetten aanvalsscenario’s. Heeft u een specifieke omgeving die u wilt laten testen, dan gaan wij graag met u in gesprek om de mogelijkheden te bespreken.

Wat is de PTES standaard?

De implementatie van de Penetration Testing Execution Standard (PTES) standaard bij Anovum bestaat uit verschillende hoofdelementen die alle aspecten van een penetratietest omvatten.

Dit begint met de initiële communicatie en de motivatie achter het uitvoeren van de pentest. Vervolgens worden de fasen van informatieverzameling en

dreigingsmodellering doorlopen, waarin de testers achter de schermen werken om een dieper inzicht in de organisatie te krijgen. Daarna worden kwetsbaarheden onderzocht, gevolgd door exploitatie en post-exploitatie, waarbij technische expertise wordt gecombineerd met zakelijk inzicht. Tot slot wordt het gehele proces vastgelegd in een rapportage die op een klantgerichte manier de meest waardevolle inzichten biedt.