Alle Software en applicaties doorgelicht, inclusief koppelingen en databases

Lees hier alle software tech stuff die wij meenemen als we full-nerd-mode gaan!

Als ethische hackers – de Robin Hoods van de cybersecuritywereld – lichten we met laserfocus je software door met onze state of the art opsporingstechnieken.

"Secwatch is down to earth en pragmatisch. Ze lossen het gewoon op."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Secwatch communiceert snel, makkelijk en vlot. Ik ben erg tevreden over ze."

Matthijs Brunsting, Teamleider software ontwikkeling bij Solviteers

"Secwatch is onze partner in crime. Ze staan letterlijk naast ons en lichten onafhankelijk onze security door. Ze hebben geen enkel ander belang dan onze security en zijn specialisten op dit vlak. Ik vertrouw op hun kritische oog."

Kees Wolters, co-founder en chief marketing & product bij Mopinion

black-box en grey-box penetratietesten

Hoe testen onze Robin Hoods?

We kijken in álle hoeken en kieren van jouw digitale omgeving en daarom zetten we een breed scala aan testprocedures in, waaronder:

  • erkende teststandaarden zoals OWASP, OSSTM, CEH/LPT en WASC-TC
  • de meest professionele en beste commerciële scan engines die er op de markt zijn, zoals Qualys, NetSparker, Acunetix, Tenable en Burp Suite Professional
  • Open Source-software in, zoals Kali, OpenVAS, WebSecurify, Arachni en Nmap

 

Daarnaast testen onze Ethische Hackers altijd creatief en out-of-the-box, zodat er aan de standaardprocedure volop flexibiliteit wordt toegevoegd om tot een gedegen eindresultaat te komen.

Tijdens het testen onderscheiden we drie verschillende benaderingen:

  • Black box: de tester heeft minimale voorkennis van de te testen systemen.
  • Grey box: de tester beschikt over wat voorkennis zoals een inlogaccount met minimale privileges.
  • White box: de tester heeft volledige kennis van de te testen systemen en vaak toegang tot de broncode voor een code-review.
pentest experts met veel kennis en ervaring

Wat scannen onze ethische hackers?

In een webapplicatiescan scannen onze Etische Hackers met laserfocus al je software en applicaties. Ze maken dus niet één generieke scan, maar voeren een grondige en specifieke ‘search & destroy’ uit. Deze diepgaande, afzonderlijke scans geven samen een gedetailleerd inzicht in de beveiligingsstatus van de aangeboden online diensten.

Bij een webapplicatiescan voeren we de volgende analyses uit:

– Geavanceerde kwetsbaarhedenanalyse op diverse niveaus binnen de applicatie zoals infrastructuur, webserver, middleware en applicatie.

– Volledige intelligente scan van alle mogelijke services, niet-poortgebonden en zonder restricties waarbij alle bekende kwetsbaarheden worden onderzocht (dus niet alleen de meest gangbare).

– Handmatig uitgevoerde tests en controles op kwetsbaarheden en configuratiefouten van aangeboden services.

– Uitgebreide tests op de juiste autorisatiescheiding van de rollen binnen de applicatie.

– Realistische scans en auditmethodieken op maat, dus geen standaardscans!

– Geavanceerde en diepe database exploit tests (SQL injection/cross-site scripting, etc.).

– Heldere uiteenzetting van het real life risico van de applicatie(s).

"Secwatch stopt veel tijd en aandacht in het uitleggen van bevindingen. Ze geven uitvoerig aan wat er gevonden is en waarom ze dat precies als een risico classificeren. Dat geeft vertrouwen."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Als wij onze beveiliging niet op orde hebben, lopen honderdduizenden personeelsdossiers gevaar. De reputatieschade daarvan is niet te overzien, dat kost ontzettend veel geld om te herstellen ALS we dat al kunnen."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Bij Secwatch zit je aan tafel met de directeur én de experts. Die korte lijnen zorgen voor helderheid en snelheid. Je weet vanaf het begin dat alle koppen de goeie kant op staan."

Edwin Moddejonge, IT-manager distributiecentrum met +30 vestigingen

De 5 fases van onze analyses

  1. Fase 1

    We duiken als eerste in de infrastructuur en de aangeboden services en voeren een basis openbare bronnenonderzoek (OSINT) uit. De website en het domein zullen we passief enummereren en we controleren de webserverconfiguratie. Daarna gaan we door met het uitvoeren van diverse poortscans en het controleren van de SSL/TLS-configuratie en DNS (SEC). In deze fase worden alle testen black-box uitgevoerd en raken we de applicatie nog niet aan.

  2. Fase 2

    Nu volgt het black-box testen van de applicatie, dus zonder het gebruik van accounts. We analyseren de implementatie van security headers, gaan op zoek naar kwetsbaarheden in gebruikte raamwerken zoals Angular en React en kijken naar sensitive data exposure. We gaan onder andere controleren of er brute force-beveiliging aanwezig is.

  3. Fase 3

    Let's take the gloves off! We gaan verder in de grey-box fase waarbij we de authenticatie en sessie-afhandeling van de applicatie testen. In deze fase testen we ook de aanwezigheid van multifactor authenticatie en de mogelijkheden om deze te omzeilen. Als laatste nemen we de password reset functies, de cookies en authenticatietokens onder de loep.

  4. Fase 4

    We gaan op zoek naar kwetsbaarheden in de applicatie. We testen onder andere op Cross-Site scripting (XSS) en SQL Injection. We houden hierbij verschillende testmethodieken aan waaronder de OWASP Top 10.

  5. Fase 5

    Net als in de vorige fase gaan we handmatig te werk om de autorisatiescheiding binnen de applicatie onder handen nemen. Om dit goed te kunnen testen is het van belang dat we het twee-test-account ontvangen. Optioneel kunnen wij ook de e-mailinrichting controleren. Wij gaan dan onder andere controleren of het domein, de mailservers en de e-mails beschikken over alle echtheidskenmerken. Optioneel kunnen wij ook de e-mailinrichting controleren. Wij gaan dan onder andere controleren of het domein, de mailservers en de e-mails beschikken over alle echtheidskenmerken.

Begrip-garantie

Niks is gevaarlijker dan een rapport dat verkeerd of half geïnterpreteerd of geïmplementeerd wordt. Daarom garanderen wij dat elke IT- of security-verantwoordelijke binnen jouw organisatie het rapport 100% begrijpt. Zodat je in staat bent om snel en adequaat precies de juiste acties te ondernemen.

Ik wil het complete risicobeeld

Telefoonnummer gekopieerd naar klembord