Applicatie-pentest

Een applicatiepentest is een controle van software en apps. Het is bedoeld voor softwareontwikkelaars en voor bedrijven die software hebben laten ontwikkelen. Deze software kan een webapplicatie zijn, software as a service, of software voor op een pc, server of mobiel. Wij kijken als een hacker naar de software. Dat is anders dan hoe ontwikkelaars naar de software kijken. Zij kijken of het werkt, wij kijken of we via fouten door kunnen dringen tot de server of organisatie.

Wat wordt er getest?

Met de applicatiepentest wordt de applicatie nagelopen op technische en functionele risico’s, op rollen en rechten, en of er ongeautomatiseerde toegang tot data mogelijk is. Zo wordt er bijvoorbeeld gekeken naar DDoS-bescherming en de juiste gelaagdheid van de architectuur. Wanneer een webapplicatie een firewall en een Intrusion Prevention System heeft worden deze ook meegenomen in de test. De systemen worden getest met en zonder beschermingsmiddelen. Dit doen we om toevalstreffers van hackers voor te zijn.

Voor het uitvoeren van de applicatiepentest hebben we onze eigen testmethode ontwikkeld. Deze testmethode bevat eigen geschreven software waarmee we snel en efficiënt belangrijke fouten in applicaties kunnen opsporen. Daarnaast worden er checklists gebruikt zoals bijvoorbeeld van Owasp.

Overige informatie

Bij een white box pentest levert de opdrachtgever de gebruikersnamen en wachtwoorden aan, een specificatie van de interfaces zoals API-koppelingen, en koppelingen naar databases. Bij een black box pentest worden deze gegevens niet gedeeld. Bij een grey box pentest wordt in overleg bepaald welke informatie wel en niet wordt gegeven.

Indien het mogelijk is testen wij in een testomgeving. Hierdoor kunnen wij de riskantere tests uitvoeren waardoor een completer beeld ontstaat van de veiligheidsrisico’s. Na afloop van de test kunnen wij een TPM-verklaring afgeven aan de opdrachtgever, waarmee bewezen is dat de applicatie is gecontroleerd door een onafhankelijke deskundige.

Naast een applicatiepentest is het belangrijk om de broncode te laten testen. Bij de code review wordt er een kwaliteitscontrole van de software zelf uitgevoerd. Een code review kan voordeliger zijn dan een applicatiepentest. Het is goedkoper om software veilig te bouwen dan om achteraf de beveiliging te testen.

Overzicht van onze Pentests

Wilt u de verschillende stappen weten die BSM uitvoert bij het uitvoeren van een pentest?

Informatie pentest

Wilt u nog meer achtergrondinformatie over de penetratietests? Klik hier.

Aanvraagformulier pentest

Een pentest aanvragen kan via het aanvraagformulier, waarna we contact met u opnemen.