Wij zijn |

Wat is een web­applicatie pentest

Icon van een webapplicatie pentest

Bijna alles wat we doen, doen we via het internet. Van winkelen tot internetbankieren, bijna alles kan digitaal plaatsvinden via webapplicaties. Deze webapplicaties bieden de eindgebruiker veel gemak en voordelen, maar er hangt een prijskaartje aan. De populariteit van webapplicaties heeft namelijk een nieuwe aanvalsvector geïntroduceerd die kwaadwillende hackers kunnen misbruiken.

Aangezien webapplicaties meestal gevoelige gegevens bevatten zoals betaal- en persoonsgegevens, is het van cruciaal belang deze webapplicaties te allen tijde goed te beveiligen. Dit geldt nog meer voor webapplicaties die publiekelijk via het internet benaderbaar zijn.

Door het toenemende gebruik en het gebruik van voortdurend veranderende technologieën, zijn webapplicaties vaak vatbaar voor kwetsbaarheden, zowel in het ontwerp als in de configuratie. Hackers zouden deze kwetsbaarheden kunnen vinden en uitbuiten om zo de gevoelige informatie in handen te krijgen. Een webapplicatie pentest geeft inzicht in deze kwetsbaarheden en zorgt ervoor dat uw gevoelige informatie veilig blijft.

Hoe wordt een webapplicatie pentest uitgevoerd?

Een webapplicatie pentest is er in verschillende vormen en maten. Er kan onderscheid gemaakt worden in drie benaderingen. Elke benadering verschilt in hoeveel informatie de pentester vooraf krijgt.

icon van een blackbox pentest

 

Blackbox webapplicatie penetratietest

Bij deze webapplicatie pentestvorm kruipt de pentester in de huid van een normale internetgebruiker. Vanuit dit perspectief krijgt de pentester geen informatie over de werking van de webapplicatie en wordt er geen toegang verschaft tot de broncode. Wel worden HTTP Security headers zoals de CSP onderzocht. Deze vorm komt het dichtst in de buurt van een realistische hack door een hackers die van buitenaf de webapplicatie probeert binnen te dringen.

  • Deze vorm schetst het risicobeeld vanuit het perspectief van een externe hacker.
  • De pentester gedraagt zich tijdens de pentest als een normale internetgebruiker (zonder kennis van de applicatie of de broncode).

Greybox webapplicatie penetratietest

Icon van een greybox pentest

Deze pentestvorm is mengelmoes van zowel black- als whitebox. De pentester zal wat informatie en hulp krijgen bij het uitvoeren van de pentest, maar de pentest zal toch dicht bij realistische aanvalsomstandigheden blijven. De pentester krijgt bijvoorbeeld een normaal gebruikersaccount en wat informatie over interne werking en functionaliteiten van de webapplicatie. Daarnaast kan het internetadres vanwaar de test wordt uitgevoerd uitgezonderd worden van een Web Application Firewall (WAF). Dit zodat de pentester zich volledig kan focussen op de webapplicatie an sich. Deze vorm van pentesten is veelal het efficiëntst en is daarom de meest gevraagde vorm voor het uitvoeren van een webapplicatie pentest.

  • Een combinatie van zowel black- als whitebox.
  • Uitvoerige pentests die dicht bij realistische aanvalsomstandigheden blijft.
  • De pentester krijgt informatie over de werking en functionaliteiten van de webapplicatie.
  • De pentester krijgt geen toegang tot de broncode.
  • Een greybox pentest is grondiger dan een blackbox pentest.

Whitebox webapplicatie penetratietest

icon van een whitebox pentest
Deze vorm van webapplicatie pentesten is het uitvoerigst. De pentester krijgt vooraf toegang tot alle mogelijke informatie over de webapplicatie. Hier kan gedacht worden aan accounts van normale gebruikers, maar ook accounts van administratieve gebruikers. Daarnaast wordt ook de broncode van de webapplicatie aan de pentester beschikbaar gesteld zodat alle functionaliteiten grondig geanalyseerd kunnen worden. Hoewel deze vorm niet representatief is aan de werkelijkheid, schetst deze pentestvorm een volledig beeld van het beveiligingsniveau van de webapplicatie.
  • De pentester heeft toegang tot de broncode
  • De pentester krijgt toegang tot alle soorten accounts, dus ook administratieve accounts.
  • Deze pentestvorm is niet representatief voor realistische aanvalsomstandigheden, tenzij er een kwaadwillende ontwikkelaar in het spel is.
  • Deze pentestvorm is het meest tijdsintensief.
  • Doeltreffender en vollediger bij het beveiligen van webapplicatie dankzij een grondige analyse van de broncode.

Welke webapplicatie pentest methodieken zijn er?

Naast de verschillende pentestvormen zijn er ook verschillende pentestmethodieken die gehanteerd kunnen worden tijdens de webapplicatie pentest. Onze OSCP-gecertificeerde penetratietesters volgen een vaste methodologie die hoofdzakelijk is gebaseerd op de top 10 van beveiligingsrisico’s van toepassingen van OWASP (Open Web Application Security Project). Bij deze aanpak worden de technieken van een kwaadwillende hacker nagebootst, waarbij gebruik wordt gemaakt van veel van dezelfde direct beschikbare hulpmiddelen.

Er bestaan in deze branche een aantal gestandaardiseerde methodologieën die de gangbare beste werkwijze voor pentesting uiteenzetten, waaronder:

  • OWASP (Open Web Application Security Project)
  • OSSTM (Open-Source Security Testing Methodology Manual)
  • ISSAF (Information Systems Security Assessment Framework)
  • PCI DSS (Payment Card Industry Data Security Standard)

Hoewel al de bovenstaande standaarden relevant zijn voor het uitvoeren van een webapplicatie pentest, is de OWASP standaard de meest gangbare standaard die gebruikt wordt. Maar zoals bij elke pentest geldt, het uiteindelijk doel is het identificeren en verhelpen van zwakke plekken. Voor het vinden van deze zwakke plekken staat de creativiteit van de pentester centraal en biedt het gebruik van een penteststandaard enkel handvatten tijdens het uitvoeren van de pentest.

Wat kost een webapplicatie pentest?

Dit is een vraag die wij Nederlanders altijd graag willen weten. Helaas is het antwoord niet eenvoudig. Dit komt door de verschillende soorten webapplicaties en de verschillende testvormen die tijdens een webapplicatie pentest gehanteerd kunnen worden. Zo geeft een whitebox pentest een volledig inzicht, maar het kost ook meer tijd en dus ook geld.

Bij het bepalen van de kosten wordt er rekening gehouden met de scope en vorm van de pentest. De hoeveelheid tests die nodig zijn verschilt op basis van URL-endpoints,  functionaliteiten en gebruikersrollen binnen de webapplicatie. Voor een simpele webapplicatie zonder complexe functionaliteiten en gebruikersrollen kunt u met een blackbox perspectief rekenen op een prijs vanaf € 2000,-. Bij een complexe webapplicatie met meer dan tien gebruikersrollen en een groot aantal complexe functionaliteiten is er een veel groter aanvalsoppervlak en kunnen de kosten bij een whitebox pentest oplopen tot boven de €15.000.

Tijdens een intakegesprek zal de scope en de daarbij behorende kosten door onze consultants met u besproken worden zodat u een prijs op maat kunt krijgen.

Webapplicatie pentest certificeringen

De kwaliteit van een webapplicatie pentest is afhankelijk van de vakbekwaamheid van de pentester die de test uitvoert. Maar hoe bepaalt u de vakkennis van een pentestleverancier? Naast de praktijkervaring kan er gekeken worden naar de certificeringen die de pentester heeft behaald. Onderstaand volgt een lijst van pentestcertificeringen gericht op webapplicatie:

  • eWPT – De eLearnSecurity Web Application Penetration Tester pentestcertificering toont de vaardigheden van een cyber security professional aan op het gebied van web applicatie penetratie testen. Dit certificaat kan echter gezien worden als een certificaat voor beginnende hackers.
  • eWPTX – De eLearnSecurity Web Application Penetration Tester eXtreme pentestcertificering is het vervolg en de extreme versie van het eWPT-certificaat. Bij het behalen van dit certificaat heeft een pentester aangetoond dat hij of zij een zeer geavanceerde webapplicatie pentest kan uitvoeren.
  • OSCP – Het Offensive Security Certified Professional is een algemener pentestcertificaat dat al jaren wordt gezien als de industriestandaard.
  • OSWE – Het Offensive Security Web Expert (OSWE) certificaat is een certificaat van Offensive Security volledig gericht op het hacken van webapplicatie. Bij het behalen van dit certificaat toont een pentester aan dat hij of zij (zeer) bekwaam is bij het pentesten van webapplicaties.

Welke tooling wordt er gebruikt?

Hoewel een pentest handwerk is, wordt er veelvuldig gebruik gemaakt van hulpmiddelen in vorm van tooling. Deze tooling kan gezien worden als gereedschap van de pentester. Het is echter wel belangrijk dat de pentester weet hoe de tooling werkt en hoe de resultaten geanalyseerd en geïnterpreteerd moeten worden.

Hulpmiddelen zoals online scanners en zoekmachines helpen de pentester bij het passief verzamelen van informatie over het testobject. Vervolgens kan er gebruik worden gemaakt van specifieke tools zoals Burp Suite om meer inzicht te krijgen in de werking van een webapplicatie. Onderstaand volgt een overzicht van tools die in verschillende fases van een webapplicatie pentest gebruikt kunnen worden:

  • Burp Suite – Een webproxy die inzicht geeft in de webverzoeken maar ook de mogelijkheid geeft om bepaalde functionaliteiten grondiger te analyseren.
  • SQLMap – een applicatie die helpt bij het uitbuiten van een SQL-injectie.
  • Metasploit – een framework waarbij bekende zwakheden in applicaties makkelijk uitgebuit kunnen worden.
  • Hydra – helpt bij het testen van zwakke inloggegevens.
  • Wfuzz – helpt bij het in kaart brengen van verborgen mappen, pagina’s en parameters van een webapplicatie.

Waarom een website pentest uitvoeren?

Door de enorme toename van webapplicaties wordt er steeds meer geïnvesteerd aan het ontwikkelen van software en het configureren van de applicaties om goed te werken in dit nieuwe landschap. Deze ontwikkeling zorgt er echter voor dat het aanvalsoppervlak van organisaties steeds groter wordt.

Hackers zijn continu op zoek naar zwakke plekken in webapplicaties met als doel deze uit te buiten en de webapplicatie te compromitteren. Dit leidt vaak tot het uitlekken van gevoelige informatie zoals persoons- en betaalgegevens. Naast deze directe schade leidt dit vaak ook tot reputatieschade. Uw klanten zullen in de toekomst wel twee keer nadenken voordat zij een samenwerking met u aangaan en hun gevoelige informatie aan u toevertrouwen.

Door het uitvoeren van een webapplicatie pentest krijgt u inzicht in de zwakke plekken voor uw webapplicatie en kunt u deze tijdig verhelpen. Zo blijft u deze hackers een stap voor en lekt uw gevoelige informatie niet uit.

Hoe kunnen wij u helpen?

QR Codes: Het onverwachte wapen in Device Code Phishing

Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.

read more

CORS: het belang van Cross-Origin Resource Sharing

Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.

read more