Uw webapplicaties lopen dagelijks risico om gehackt te worden. Kwaadwillenden kunnen zich misschien toegang verschaffen tot de webapplicatie. Of misschien heeft de applicatie externe gebruikers die zoeken naar manieren om data over andere gebruikers te achterhalen. Of misschien is uw webapplicatie wel een heel belangrijk onderdeel van het realiseren van omzet, of komt uw organisatie/bedrijf negatief in de media als deze is gehackt door de aard van de gegevens. Hoe dan ook, er zijn vele redenen waarom uw webapplicatie (aantoonbaar) veilig moet zijn. Als u precies wilt weten in welke mate uw webapplicatie risico loopt, kan Cyber Cloud door middel van een penetratietest de beveiliging van uw webapplicatie testen aan de hand van de OWASP WSTG standaard.

Doel

Specifiek geeft deze penetratietest antwoord op de vraag of het voor een aanvaller:

• mogelijk is om bewust de ingerichte beveiligingsvoorzieningen van de webapplicatie te omzeilen;
• mogelijk is om onbewust via eventuele beveiligingstekortkomingen in de webapplicatie, bijbehorende services en GUI’s toegang te krijgen tot andere delen van de oplossing;
• die niet beschikt over credentials om toegang tot de webapplicatie te krijgen;
• die wel beschikt over credentials om toegang tot niet voor hem/haar bestemde delen/gegevensbestanden behorend bij de webapplicatie te krijgen.

Meer globaal is het doel van het onderzoek:

• inzicht bieden in de kwaliteit en het niveau van de genomen beveiligingsmaatregelen in de webapplicatie, bijbehorende services en GUI’s;
• signaleren en classificeren van tekortkomingen in de beveiligingsmaatregelen;
• geven van concrete aanbevelingen die u in staat stelt de (kwaliteit van de) beveiliging van de webapplicatie waar nodig te verbeteren.

Web Applicatie Pentest Proces

Cyber Cloud volgt een gefaseerde aanpak voor alle penetratietesten:

Fase 1: Voorbereiding | Verzamelen van informatie

• Bepalen van de webapplicatie(s) in scope
• Invullen van intake-formulier voor de webapplicatie:
  • Aanleiding van de pentest
  • Technische- en operationele contactpersonen
  • Gebruikte technieken
  • Testomgeving
  • Specifieke wensen voor de pentest
  • Achtergrond informatie
• Bepalen de planning en operationele afspraken
• Vaststellen van de benodigdheden, zo hebben we testaccounts nodig om ook functionaliteiten binnen de webapplicatie (vanuit het perspectief van bestaande gebruikers of als hackers zich toegang weten te verschaffen tot de applicatie) te kunnen testen.
• Bij webapplicaties waar zich meerdere organisaties/klanten kunnen bevinden (zgn. ‘multi-tenant’ webapplicaties) ontvangen we bij voorkeur van verschillende (test)klanten gebruikersaccounts. Hiermee kunnen we onderzoeksvragen testen zoals: kan ik met een gebruikersaccount van klant A bij gegevens van klant B?
• Vrijwaringsverklaring

Fase 2: Test | Analyse

• Uitvoeren van enumeratie/reconnaissance conform de OWASP WSTG standaard.
• Uitvoeren van geautomatiseerde door Cyber Cloud ontwikkelde tools en scripts.
• Uitvoeren van handmatige verificaties en manuele testing.
• Exploitatie van kwetsbaarheden en indien mogelijk privilege escalatie.

Fase 3: Oplevering Rapport | Toelichting

• Schrijven en samenstellen van het penetratierapport, met daarin:
  • een managementsamenvatting;
  • alle bevindingen uit het onderzoek;
  •  bewijsmateriaal in de vorm van bijvoorbeeld screenshots en/of code-snippets;
  • op die bevindingen gebaseerde aanbevelingen.
• Presenteren, bespreken en beoordelen van bevindingen samen met u.

Fase 4: Hertest (optioneel)

Optioneel kunt u na een herstelperiode ons de webapplicatie (of specifieke bevindingen) opnieuw laten testen. Wij zullen de gevonden risico’s dan zowel geautomatiseerd als handmatig opnieuw verifiëren.