Webapplicatie pentest

Wij testen uw webapplicatie op echte risico’s voordat aanvallers ze vinden. Onze aanpak is gebaseerd op de OWASP Testing Guide en gaat verder dan geautomatiseerde scanners.

Wat testen wij?

• Authenticatie & sessies — wachtwoordbeleid, MFA-omzeiling, sessiemanagement, token-validatie
• Autorisatie — broken access control, IDOR, privilege escalation, horizontale en verticale toegangsfouten
• Inputvalidatie — SQL-injectie, XSS, command injection, file upload misbruik
• Business logic — processtappen overslaan, prijsmanipulatie, race conditions
• API-integraties — onveilige API-aanroepen, blootgestelde endpoints
• Configuratie — security headers, TLS-configuratie, foutafhandeling

Aanpak: grey box

Voor webapplicaties hanteren wij standaard een grey box aanpak: wij beschikken over een gebruikersaccount maar geen broncode. Dit simuleert een aanvaller die via phishing of credential stuffing toegang heeft gekregen. Op verzoek voeren wij ook een black box of white box pentest uit. Meer uitleg op de pagina pentestmethodologie.

Voor wie

• Organisaties met een klantportaal of gebruikersomgeving
• SaaS-bedrijven die software bouwen voor zakelijke klanten
• Organisaties die moeten voldoen aan NIS2, ISO 27001 of PCI DSS
• Development-teams die hun applicatie willen laten toetsen voor of na een release

FAQ

Kan dit op een staging-omgeving?

Ja, vaak is dat de beste route. Wij testen ook op productie als de klant dat prefereert — dan plannen wij buiten piekuren.

Nemen jullie API’s mee?

Ja, API’s die onderdeel zijn van de webapplicatie worden meegenomen. Voor een uitgebreide API-only test, zie API pentest.

Hoe lang duurt een webapplicatie pentest?

Doorgaans 3 tot 5 werkdagen, afhankelijk van de complexiteit van de applicatie en het aantal use-cases.

Plan een webapplicatie pentest  ·  API pentest  ·  Kosten

Compliance & sector-specifieke pentests

Werkt uw organisatie met specifieke regelgeving? Wij voeren pentests uit die aansluiten op de eisen van uw branche.

• DigiD pentest & ICT-beveiligingsassessment — verplicht voor organisaties met DigiD-koppeling
• ISO 27001 pentest — ondersteuning bij certificering
• NIS2 pentest — technische toets voor NIS2-plichtige organisaties
• PCI DSS pentest — verplichte test voor betaalomgevingen
• Pentest overheid — BIO-aligned voor de publieke sector
• Pentest zorg — NEN 7510 en AVG-gericht
• SaaS pentest — voor software- en platformbedrijven