OSCP · OSWE · OSEP gecertificeerd | Joost voert elke test zelf uit — geen juniors | Reactie binnen 1 werkdag | Gevestigd in Haarlem

Webapplicatie beveiliging checklist 2026: 20 punten die je moet checken

Door /

Webapplicatie beveiliging checklist 2026: 20 punten die je moet checken

Veel webapplicaties bevatten kwetsbaarheden die met een basischeck al ontdekt hadden kunnen worden. Deze checklist helpt developers, security engineers en producteigenaren de meest kritieke beveiligingspunten snel te doorlopen. Het is geen vervanging voor een professionele pentest, maar een goed startpunt voor zelfbeoordeling.

Authenticatie & sessies

  • Multi-factor authenticatie (MFA) — Staat MFA aan voor alle beheeraccounts? En voor eindgebruikers met toegang tot gevoelige data?
  • Wachtwoordbeleid — Worden zwakke wachtwoorden geweigerd? Worden gelekte wachtwoorden gecontroleerd (via Have I Been Pwned of vergelijkbaar)?
  • Sessie-expiratie — Verlopen sessies na inactiviteit? Worden sessietokens ongeldig na uitloggen?
  • Account lockout — Wordt er geblokkeerd na meerdere mislukte inlogpogingen?
  • Veilige wachtwoordopslag — Worden wachtwoorden gehashed met bcrypt, Argon2 of scrypt — nooit MD5 of SHA-1?

Autorisatie

  • Broken Access Control — Kan een gebruiker objecten bereiken van andere gebruikers door het ID in de URL aan te passen (IDOR)?
  • Privilege escalation — Kan een gewone gebruiker admin-functies bereiken door directe URL-aanroepen?
  • API-autorisatie — Worden alle API-endpoints gecontroleerd op autorisatie, ook bij directe aanroep zonder frontend?

Inputvalidatie & injecties

  • SQL-injectie — Worden alle databasequeries geparametriseerd of via een ORM uitgevoerd?
  • Cross-Site Scripting (XSS) — Wordt gebruikersinput ge-escaped bij weergave? Staat Content Security Policy (CSP) correct ingesteld?
  • Command injectie — Worden systeemaanroepen met gebruikersinput vermeden of veilig gesandboxed?
  • File upload beveiliging — Worden geüploade bestanden gevalideerd op type en inhoud? Worden ze buiten de webroot opgeslagen?

Configuratie & infrastructuur

  • HTTPS overal — Wordt alle communicatie via HTTPS versleuteld? Staat HSTS correct ingesteld?
  • Security headers — Zijn X-Frame-Options, X-Content-Type-Options, Referrer-Policy en CSP aanwezig en correct?
  • Software-updates — Zijn alle frameworks, bibliotheken en afhankelijkheden bijgewerkt? Gebruikt u een dependency scanner (bijv. Snyk of Dependabot)?
  • Foutmeldingen — Worden stack traces en technische foutdetails verborgen voor eindgebruikers?
  • Debug-modus — Staat debug-modus uitgeschakeld in productie?

Logging & monitoring

  • Inlogpogingen gelogd — Worden mislukte inlogpogingen, wachtwoordresets en MFA-wijzigingen gelogd?
  • Log-integriteit — Worden logs opgeslagen op een locatie waar de applicatie zelf ze niet kan verwijderen?
  • Alerting — Zijn er alerts op verdachte patronen (brute force, ongebruikelijke tijdstippen, hoog volume API-aanroepen)?

Wat als u hier gaten in vindt?

Prioriteer op basis van impact en exploiteerbaarheid. Kritieke punten (SQL-injectie, IDOR, geen MFA op admin) eerst. Overweeg een professionele webapplicatie pentest voor een volledige, handmatige beoordeling — inclusief kwetsbaarheden die een checklist niet vindt.

FAQ

Is deze checklist compleet?

Nee — dit is een vertrekpunt voor zelfbeoordeling, gebaseerd op de OWASP Top 10. Een professionele pentest gaat verder: logica-fouten, business-laag kwetsbaarheden en complexe aanvalsketens zijn zonder handmatige test niet te vinden.

Hoe vaak moet ik mijn webapplicatie testen?

Minimaal jaarlijks en na elke significante wijziging. Bij actieve ontwikkeling is het integreren van security in de CI/CD-pipeline (DevSecOps) de meest effectieve aanpak.

Lees meer over webapplicatie pentests  ·  Offerte aanvragen

Related Posts

Scroll naar boven