Website pentest

Websites kunnen verschillende vormen van beveiligingslekken bevatten. Dit geldt ook voor de route naar de website toe (DNS). Wij testen de website op beveiligingsproblemen en brengen deze voor u in beeld. Meestal is het enige dat wij hiervoor nodig hebben de domeinnaam van de website. Na de pentest denken we graag met u mee over de mogelijke vervolgstappen.

Waarom is een pentest van een website nodig?

Een website wordt meestal buiten de organisatie gehost, maar het is ook mogelijk om dit binnen de organisatie op een eigen server te doen. Bij de pentest van het WAN wordt het modem en de serverlaag wel getest, maar de website maakt hier geen standaardonderdeel van uit. Afhankelijk van het type website kan het grondig testen van een website veel werk zijn, maar blijkt vaak wel de nodige beveiligingslekken aan het licht te brengen. Met deze beveiligingslekken zijn hackers tot veel in staat.

  • Een veelvoorkomend probleem is defacement. Een hacker plaatst hierbij zeer ongewenste inhoud op uw website dat leidt tot imagoschade. Een variant hierop is wanneer er advertenties worden geplaatst voor producten van een ander.
  • Een hacker kan soms bij vertrouwelijke informatie komen wanneer een website een contactformulier of andere contactopties bevat.
  • Een veilige website scoort hoger in de zoekresultaten. Wanneer er veel beveiligingslekken aanwezig zijn op de website zal deze slecht scoren en hierdoor slecht vindbaar zijn voor klanten.
  • Bij een slechte beveiliging kunnen hackers de website ernstig vertragen of zelfs volledig onbereikbaar maken voor klanten.

Wat wordt er zoal getest?

We zullen voor u meerdere punten controleren.

  • We kijken naar veelgemaakte fouten zoals cross-site scripting, SQL-injectie en onvoldoende brute-forcebescherming. Ook bij websites die gedeeltelijk of geheel zijn ondergebracht bij grote diensten zoals Amazon of Azure wordt vaak gedacht dat de beveiliging op orde is, terwijl dit lang niet altijd het geval is.
  • We bekijken onder andere of de website adequaat beschermd is tegen DDoS-aanvallen. Een DDoS-aanval is in staat om de website ernstig te vertragen of zelfs volledig onbereikbaar te maken.
  • Er wordt getest of bijvoorbeeld het inlogscherm voor het beheer van de website voldoende is beveiligd.
  • We kijken of de gegevens die verwerkt worden binnen Europa blijven en of ze niet weglekken naar onbedoelde partijen.
  • Het is ons meerdere keren gelukt om bij klanten via een supportsysteem van de organisatie zelf binnen te dringen tot de computers. Zulke methodes zullen ook worden toegepast.
Pentest in testomgeving of liveomgeving

Grote organisaties beschikken vaak over een testomgeving waar wij in kunnen werken. Dit is voor ons handig, want op deze manier kunnen we ook de riskantere tests doen. Wanneer er een testomgeving beschikbaar is kunnen we mogelijk meer kwetsbaarheden aan het licht brengen.

Wanneer het WAN en de website getest zijn, is een logische stap om het interne netwerk (LAN) te testen. Indien er applicaties op maat zijn gemaakt is het verstandig om de applicatiepentest uit te laten voeren.

Waarom BSM?

BSM heeft meer dan vijftien jaar ervaring met het verzorgen van pentesten. De medewerkers kennen de meest gebruikte methodes die hackers toepassen, en zijn ook op de hoogte van de nieuwste ontwikkelingen. BSM is een kleine organisatie waarbij persoonlijk contact met de klant belangrijk is. We werken samen met de klant om zo tot de beste uitkomsten te komen. Wij gaan de dialoog aan met de ontwikkelaars en systeembeheerders voor een optimaal verloop. Na afloop van de test blijven we graag betrokken om na te denken over oplossingen van eventuele problemen. Wij kunnen vaak al binnen enkele weken voor u van start gaan.

BSM heeft van het Ministerie van Justitie een vergunning (POB 1104) voor het doen van onderzoeken. Alle medewerkers van BSM zijn gescreend en hebben wettelijke geheimhoudingsplicht.

Overzicht van onze Pentests

Wilt u de verschillende stappen weten die BSM uitvoert bij het uitvoeren van een pentest?

Informatie pentest

Wilt u nog meer achtergrondinformatie over de penetratietests? Klik hier.

Aanvraagformulier pentest

Een pentest aanvragen kan via het aanvraagformulier, waarna we contact met u opnemen.