Een goede website is het visitekaartje van uw bedrijf. Bovendien worden er via een website steeds vaker diensten aangeboden zoals een webshop, inlogportals of een database. Veel ondernemers willen dat de website en inlogportals veilig zijn, zodat de bezoekers veilig gebruik kunnen maken van het dienstenaanbod en de reputatie geen schade oploopt wanneer de website onverhoopt wordt gehackt.
Handmatige interpretatie
Veel geautomatiseerde security testen op internet zijn gratis af te nemen. Er kleeft een risico aan deze geautomatiseerde testen, aangezien er geen handmatige interpretatie door een security expert op de resultaten van de security scan plaatsvindt. De kans is aanwezig dat er een grote lijst van false positives wordt waargenomen, of dat er belangrijke kwetsbaarheden worden gemist.
Daarom adviseren wij altijd om de resultaten van een website beveiligingsonderzoek handmatig te onderzoeken door een ethical hacker / security specialist zodat u kwetsbaarheden snel kunt oplossen en de kwetsbaarheden die worden gemeld ook valide zijn.
Basis website security scan
Afhankelijk van het risico van de te testen online portal of website adviseren we een basis website security scan of een uitgebreide securityscan. Dit wordt vaak een website pentest of website penetratietest genoemd.
Wanneer voor uw organisatie de website geen wezenlijk onderdeel uitmaakt van de primaire business en er geen eventuele inlogportals voor klanten aanwezig zijn adviseren we te starten met een basis website security check. We testen dan uw website op essentiële en belangrijke punten, maar we testen hier niet op door.
Met deze test worden veel gemaakte beveiligingsfouten op websites ontdekt. We laten een ethische hacker uw website bezoeken als ware een criminele hacker en verwerken de ontdekte website fouten in een helder en overzichtelijk rapport.
Uitgebreide website security scan (pentest)
Wanneer de website en/of de online applicatie onderdeel uitmaakt van de primaire business is het verstandig een uitgebreide website security test uit te voeren. Zeker wanneer de continuïteit van uw onderneming schade kan oplopen door een gehackte website / online applicatie is het van groot belang om deze zo veilig mogelijk te maken.
Kans op geslaagde website hack verkleinen
De kans op een geslaagde hack aanval kunt u flink verkleinen door onze uitgebreide website security scan uit te laten voeren.
We testen onder andere maar niet uitsluitend op:
- De OWASP top10
- Remote Code Injection
- SQL injection
- Path Traversals
- XSS (Cross Site Scripting attacks)
- Session Hijacking attacks
- Cookie Hijacking attacks
- Gebruikte versleuteling (SSL / TLS check)
- Vulnerable disclosures
Voorbereiding en rapportage
Voordat we een website security scan kunnen starten moeten we eerst een duidelijke overeenkomst met elkaar afsluiten. Dit is een pentest overeenkomst met een duidelijke NDA, zodat u ook duidelijkheid hebt over de vertrouwensrelatie die we met u aangaan.
In de pentestovereenkomst staat onder andere wat onze ethische hackers precies moeten testen (de pentest doelen), tot hoever ze mogen gaan en of er disruptief mag worden getest. Ook worden er afspraken gemaakt over het in kennis stellen van eventuele derde partijen, zoals een IT leverancier of een hosting provider.
Inzichtelijke rapportage
Wij snappen als geen ander dat een technische pentest rapportage vaak lastig kan worden geïnterpreteerd door een verantwoordelijke vanwege de vaak technische termen en vaktaal. Soms komen we daar niet onderuit, omdat juist een professional moet kunnen begrijpen waar de kwetsbaarheden zich bevinden zodat deze kunnen worden opgelost.
Daarom maken we altijd een management overzicht, zodat u als eindverantwoordelijke altijd in één oogopslag kunt zien welke kwetsbaarheden we tijdens onze website security scan hebben aangetroffen, welke impact dat zou kunnen hebben en hoe de kwetsbaarheden kunnen worden verholpen. We doen u direct aanbevelingen over het voorkomen van soortgelijke en nieuwe kwetsbaarheden, zodat u zich focussen op het correct aansturen van uw it mensen.