Web Applicatie Pentest
Uw webapplicaties lopen dagelijks risico om gehackt te worden. Kwaadwillenden kunnen zich misschien toegang verschaffen tot de webapplicatie. Of misschien heeft de applicatie externe gebruikers die zoeken naar manieren om data over andere gebruikers te achterhalen. Of misschien is uw webapplicatie wel een heel belangrijk onderdeel van het realiseren van omzet, of komt uw organisatie/bedrijf negatief in de media als deze is gehackt door de aard van de gegevens. Hoe dan ook, er zijn vele redenen waarom uw webapplicatie (aantoonbaar) veilig moet zijn. Als u precies wilt weten in welke mate uw webapplicatie risico loopt, kan Cyber Cloud door middel van een penetratietest de beveiliging van uw webapplicatie testen aan de hand van de OWASP WSTG standaard.
Doel
Specifiek geeft deze penetratietest antwoord op de vraag of het voor een aanvaller:
- mogelijk is om bewust de ingerichte beveiligingsvoorzieningen van de webapplicatie te omzeilen;
- mogelijk is om onbewust via eventuele beveiligingstekortkomingen in de webapplicatie, bijbehorende services en GUI’s toegang te krijgen tot andere delen van de oplossing;
- die niet beschikt over credentials om toegang tot de webapplicatie te krijgen;
- die wel beschikt over credentials om toegang tot niet voor hem/haar bestemde delen/gegevensbestanden behorend bij de webapplicatie te krijgen.
Meer globaal is het doel van het onderzoek:
- inzicht bieden in de kwaliteit en het niveau van de genomen beveiligingsmaatregelen in de webapplicatie, bijbehorende services en GUI’s;
- signaleren en classificeren van tekortkomingen in de beveiligingsmaatregelen;
- geven van concrete aanbevelingen die u in staat stelt de (kwaliteit van de) beveiliging van de webapplicatie waar nodig te verbeteren.
Web Applicatie Pentest Proces
Cyber Cloud volgt een gefaseerde aanpak voor alle penetratietesten:
Fase 1: Voorbereiding | Verzamelen van informatie
- Bepalen van de webapplicatie(s) in scope
- Invullen van intake-formulier voor de webapplicatie:
- Aanleiding van de pentest
- Technische- en operationele contactpersonen
- Gebruikte technieken
- Testomgeving
- Specifieke wensen voor de pentest
- Achtergrond informatie
- Bepalen de planning en operationele afspraken
- Vaststellen van de benodigdheden, zo hebben we testaccounts nodig om ook functionaliteiten binnen de webapplicatie (vanuit het perspectief van bestaande gebruikers of als hackers zich toegang weten te verschaffen tot de applicatie) te kunnen testen.
- Bij webapplicaties waar zich meerdere organisaties/klanten kunnen bevinden (zgn. ‘multi-tenant’ webapplicaties) ontvangen we bij voorkeur van verschillende (test)klanten gebruikersaccounts. Hiermee kunnen we onderzoeksvragen testen zoals: kan ik met een gebruikersaccount van klant A bij gegevens van klant B?
- Vrijwaringsverklaring
Fase 2: Test | Analyse
- Uitvoeren van enumeratie/reconnaissance conform de OWASP WSTG standaard.
- Uitvoeren van geautomatiseerde door Cyber Cloud ontwikkelde tools en scripts.
- Uitvoeren van handmatige verificaties en manuele testing.
- Exploitatie van kwetsbaarheden en indien mogelijk privilege escalatie.
Fase 3: Oplevering Rapport | Toelichting
- Schrijven en samenstellen van het penetratierapport, met daarin:
- een managementsamenvatting;
- alle bevindingen uit het onderzoek;
- bewijsmateriaal in de vorm van bijvoorbeeld screenshots en/of code-snippets;
- op die bevindingen gebaseerde aanbevelingen.
- Presenteren, bespreken en beoordelen van bevindingen samen met u.
Fase 4: Hertest (optioneel)
Optioneel kunt u na een herstelperiode ons de webapplicatie (of specifieke bevindingen) opnieuw laten testen. Wij zullen de gevonden risico’s dan zowel geautomatiseerd als handmatig opnieuw verifiëren.
Hoe is het gesteld met uw applicatiebeveiliging?
Applicaties zijn softwareprogramma´s die u installeert op uw pc, laptop of server of de bekende apps voor op uw smartphone of tablet. Doordat applicaties steeds vaker ook extern te benaderen zijn, worden ze kwetsbaarder. Soms al via een nietszeggende applicatie kan een hacker de mogelijkheid vinden om in uw systemen te komen. Applicaties vormen daardoor één van de zwakke onderdelen in uw systemen en waar u goed aandacht aan moet besteden. Applicatiebeveiliging is voor iedere organisatie dan ook een must, helemaal als applicaties extern benaderbaar zijn. Met een goede applicatiebeveiliging, sluit u de mogelijk ingangen tot uw systemen af voor hackers en cybercriminelen.
Hoe kunt u de beveiliging van een applicatie regelen?
Applicatiebeveiliging is meer dan enkel softwarematige maatregelen nemen. De beveiliging van een applicatie is een samenspel tussen software, hardware en bepaalde beleidsmaatregelen, zoals procedures over het omgaan met applicaties. In het verleden werd er pas nadat een applicatie gereed was naar de beveiliging gekeken. Dit is gelukkig verbeterd en wordt tijdens het ontwerp van een applicatie al rekening gehouden met de veiligheidseisen, ook wel ‘Security by Design’ genoemd. Softwarematig zijn er diverse gespecialiseerde oplossingen voor applicatiebeveiliging. Het meest gemakkelijk is het installeren van een applicatie firewall. Maar u wilt kwetsbaarheden bij de bron aanpakken en dat zit veelal in de broncode van de applicatie zelf. Hoe werken uw ontwikkelaars? Worden er reeds tijdens het software-ontwikkelingsproces al security testen uitgevoerd? Als u hulp nodig heeft bij het veilig ontwikkelen van applicaties, vraag dan advies aan de experts van Cyber Cloud.
U kunt uw applicatie laten beveiligen door Cyber Cloud
Maakt uzelf gebruik van een applicatie of heeft u een applicatie uitgebracht die door uw klanten wordt gebruikt? Uw applicatie laten beveiligen is uitermate belangrijk om veilig te kunnen werken. Zowel voor uzelf als voor uw klant. Schakel daarom de experts in van Cyber Cloud. Wij lichten uw applicatie(s) goed door, zodat we duidelijk inzichtelijk krijgen op welke onderdelen nog extra beveiligd moet worden. Met een goede applicatiebeveiliging, maakt u het cybercriminelen al een stuk moeilijker om via applicaties in uw systemen te komen.
Onze klanten
Ontdekken of Cyber Cloud aansluit bij uw behoeften?
Neem contact met ons voor een gratis kennismakings- & adviessessie bij u op locatie!