Alle Software en applicaties doorgelicht, inclusief koppelingen en databases

Lees hier alle software tech stuff die wij meenemen als we full-nerd-mode gaan!

Als ethische hackers – de Robin Hoods van de cybersecuritywereld – lichten we met laserfocus je software door met onze state of the art opsporingstechnieken.

"Onze mensen hebben rechtstreeks contact met de mensen die de pentest uitvoeren."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Als wij onze beveiliging niet op orde hebben, lopen honderdduizenden personeelsdossiers gevaar. De reputatieschade daarvan is niet te overzien, dat kost ontzettend veel geld om te herstellen ALS we dat al kunnen."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Secwatch is down to earth en pragmatisch. Ze lossen het gewoon op."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

Hoe testen onze ethische hackers?

We kijken in álle hoeken en kieren van jouw digitale omgeving en daarom zetten we een breed scala aan testprocedures in, waaronder:

  • erkende teststandaarden zoals OWASP, OSSTM, CEH/LPT en WASC-TC
  • de meest professionele en beste commerciële scan engines die er op de markt zijn, zoals Qualys, NetSparker, Acunetix, Tenable en Burp Suite Professional
  • Open Source-software in, zoals Kali, OpenVAS, WebSecurify, Arachni en Nmap

 

Daarnaast testen onze Robin Hoods altijd creatief en out-of-the-box, zodat er aan de standaardprocedure volop flexibiliteit wordt toegevoegd om tot een gedegen eindresultaat te komen.

Tijdens het testen onderscheiden we drie verschillende benaderingen:

  • Black box: de tester heeft minimale voorkennis van de te testen systemen.
  • Grey box: de tester beschikt over wat voorkennis zoals een inlogaccount met minimale privileges.
  • White box: de tester heeft volledige kennis van de te testen systemen en vaak toegang tot de broncode voor een code-review.

Wat scannen onze ethische hackers?

In een webapplicatiescan scannen onze Robin Hoods met laserfocus al je software en applicaties. Ze maken dus niet één generieke scan, maar voeren een grondige en specifieke ‘search & destroy’ uit. Deze diepgaande, afzonderlijke scans geven samen een gedetailleerd inzicht in de beveiligingsstatus van de aangeboden online diensten.

Bij een webapplicatiescan voeren we de volgende analyses uit:

– Geavanceerde kwetsbaarhedenanalyse op diverse niveaus binnen de applicatie zoals infrastructuur, webserver, middleware en applicatie.

– Volledige intelligente scan van alle mogelijke services, niet-poortgebonden en zonder restricties waarbij alle bekende kwetsbaarheden worden onderzocht (dus niet alleen de meest gangbare).

– Handmatig uitgevoerde tests en controles op kwetsbaarheden en configuratiefouten van aangeboden services.

– Uitgebreide tests op de juiste autorisatiescheiding van de rollen binnen de applicatie.

– Realistische scans en auditmethodieken op maat, dus geen standaardscans!

– Geavanceerde en diepe database exploit tests (SQL injection/cross-site scripting, etc.).

– Heldere uiteenzetting van het real life risico van de applicatie(s).

"De kwaliteit is erg goed en we werken heel fijn met Secwatch samen. Ze zijn erg gewillig met interpreteren van de bevindingen, waardoor je precies weet waarom sommige zaken naar voren zijn gekomen."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Wij kunnen dankzij Secwatch continu aan stakeholders aantonen dat onze beveiliging in orde is."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

"Vooraf is de prijs duidelijk en vast, die verandert niet ook al vinden ze tijdens hun testen iets vinden dat extra tests vereist."

Matthijs Brunsting, Teamleider software ontwikkeling bij Solviteers

De 5 fases van onze analyses

  1. Fase 1

    We duiken als eerste in de infrastructuur en de aangeboden services en voeren een basis openbare bronnenonderzoek (OSINT) uit. De website en het domein zullen we passief enummereren en we controleren de webserverconfiguratie. Daarna gaan we door met het uitvoeren van diverse poortscans en het controleren van de SSL/TLS-configuratie en DNS (SEC). In deze fase worden alle testen black-box uitgevoerd en raken we de applicatie nog niet aan.

  2. Fase 2

    Nu volgt het black-box testen van de applicatie, dus zonder het gebruik van accounts. We analyseren de implementatie van security headers, gaan op zoek naar kwetsbaarheden in gebruikte raamwerken zoals Angular en React en kijken naar sensitive data exposure. We gaan onder andere controleren of er brute force-beveiliging aanwezig is.

  3. Fase 3

    Let's take the gloves off! We gaan verder in de grey-box fase waarbij we de authenticatie en sessie-afhandeling van de applicatie testen. In deze fase testen we ook de aanwezigheid van multifactor authenticatie en de mogelijkheden om deze te omzeilen. Als laatste nemen we de password reset functies, de cookies en authenticatietokens onder de loep.

  4. Fase 4

    We gaan op zoek naar kwetsbaarheden in de applicatie. We testen onder andere op Cross-Site scripting (XSS) en SQL Injection. We houden hierbij verschillende testmethodieken aan waaronder de OWASP Top 10.

  5. Fase 5

    Net als in de vorige fase gaan we handmatig te werk om de autorisatiescheiding binnen de applicatie onder handen nemen. Om dit goed te kunnen testen is het van belang dat we het twee-test-account ontvangen. Optioneel kunnen wij ook de e-mailinrichting controleren. Wij gaan dan onder andere controleren of het domein, de mailservers en de e-mails beschikken over alle echtheidskenmerken. Optioneel kunnen wij ook de e-mailinrichting controleren. Wij gaan dan onder andere controleren of het domein, de mailservers en de e-mails beschikken over alle echtheidskenmerken.

Begrip-garantie

Niks is gevaarlijker dan een rapport dat verkeerd of half geïnterpreteerd of geïmplementeerd wordt. Daarom garanderen wij dat elke IT- of security-verantwoordelijke binnen jouw organisatie het rapport 100% begrijpt. Zodat je in staat bent om snel en adequaat precies de juiste acties te ondernemen.

Ik wil het complete risicobeeld

Telefoonnummer gekopieerd naar klembord