Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

€175 /uur CCV gecertificeerd

Onze CCV gecertificeerde pentesters voeren grondige beveiligingstests uit op uw applicaties, netwerken en infrastructuur. Wij identificeren kwetsbaarheden voordat kwaadwillenden dat doen. Beschikbaar in blackbox, greybox en whitebox varianten.

Wat is een pentest?

Een penetratietest, kortweg pentest, is een gecontroleerde aanval op uw IT-omgeving. Wij breken in, documenteren hoe, en laten zien wat een echte aanvaller had kunnen doen. Bewezen aanvalspaden met proof-of-concept.

Het verschil met een vulnerability scan? Bij een vulnerability scan draait men Nessus of Qualys, er komt een PDF met CVE's uit en men noemt het klaar. Wij gaan verder. Onze pentesters combineren tools als Burp Suite, BloodHound en Nuclei met handmatig onderzoek en jarenlange ervaring. Wij vinden de business-logicafouten, chained exploits en configuratieproblemen die scanners structureel missen.

Zolder is een CCV Keurmerk Pentesten gecertificeerd pentestbedrijf. Dat keurmerk garandeert competentie, onafhankelijkheid en rapportagekwaliteit. Voor organisaties onder NIS2 of ISO 27001 is dit vaak een vereiste.

Typen pentests

Wij bieden drie varianten:

Blackbox: wij weten niets vooraf en werken als een externe aanvaller.
Greybox: wij krijgen beperkte informatie, bijvoorbeeld een account, wat architectuurdocumentatie, etc.
Whitebox: volledige toegang tot broncode en configuratie. Het meest grondig, en ons advies als u het maximale uit de test wilt halen.

Welk type past, bespreken we in het scopingsgesprek. Daar zit u direct aan tafel met de pentester die de test gaat uitvoeren.

Waarom een pentest laten uitvoeren?

Een pentest geeft u:

Bewezen aanvalspaden: geen theoretische lijstjes, maar concrete exploits met screenshots en commando's.
Compliance: NIS2, BIO, ISO 27001 en PCI-DSS vereisen periodieke pentests.
Vertrouwen: steeds meer klanten en partners eisen een pentestrapport bij aanbestedingen.
Eerlijk beeld: wij blazen bevindingen niet onnodig op om de opdracht groter te maken. Als iets veilig is, staat dat in het rapport.

Onze aanpak

Korte lijnen, directe actie. Dat is hoe wij werken.

Scoping & threat modelling - u spreekt direct met de pentester. Samen bepalen we scope, doelstellingen en spelregels. Wat zijn uw kroonjuwelen? Wat is je doel?
Reconnaissance - OSINT, port scanning, service fingerprinting, subdomain enumeration.
Kwetsbaarheidsanalyse & exploitatie - systematisch testen, gevolgd door gecontroleerde exploitatie. Wij tonen de werkelijke impact aan.
Post-exploitatie - lateral movement, privilege escalation, persistence. Hoe ver komt een aanvaller?
Rapportage - helder rapport met managementsamenvatting, technische details inclusief reproduceerstappen, en concrete aanbevelingen. Geen consultancy-jargon.
Hertest - na uw fixes kunnen wij verifiëren of de kwetsbaarheden daadwerkelijk zijn verholpen.

Tijdens de test delen wij kritieke bevindingen direct met u. U krijgt een Teams-, Slack- of Signal-groep met de onderzoeker. Dat is wat wij bedoelen met korte lijnen.

Wat kost een pentest?

Ons uurtarief is €175 per uur (excl. BTW). De totale kosten hangen af van scope, type test en complexiteit:

Scope: een webapplicatie versus een complete infrastructuur met honderden hosts.
Type test: blackbox vergt meer reconnaissance-uren dan whitebox.
Complexiteit: maatwerkapplicaties, custom protocollen of legacy-systemen kosten meer tijd.
Compliance-eisen: OWASP ASVS of PTES kunnen extra testcases vereisen.

Een gemiddelde webapplicatie-pentest komt neer op €5.000 - €15.000. Infrastructuurtests liggen hoger. Wij stellen altijd een vaste offerte op na een gratis scopingsgesprek.

Methodologie

Scoping

Bepalen van de scope, doelstellingen en regels van de test.

Reconnaissance

Actief en passief verzamelen van informatie over het doelsysteem.

Exploitatie

Actief testen en exploiteren van kwetsbaarheden.

Rapportage

Gedetailleerd rapport met bevindingen en aanbevelingen per prioriteit.

Hertest

Verificatie dat gevonden kwetsbaarheden succesvol zijn opgelost.

Veelgestelde vragen

Hoe lang duurt een pentest?

Een webapplicatie-pentest duurt 1-3 weken doorlooptijd. Een infrastructuurtest 2-4 weken. De daadwerkelijke testuren hangen af van de omvang van de te testen omgeving. Wij plannen altijd in overleg zodat het uw operatie zo min mogelijk verstoort. Tijdens de test kunt u direct contact opnemen met de pentester als u vragen heeft.

Wat is het verschil tussen een vulnerability scan en een pentest?

Een vulnerability scan is geautomatiseerd en rapporteert bekende CVE's. Een pentest gaat veel verder: wij exploiteren kwetsbaarheden daadwerkelijk, combineren zwakheden tot aanvalsketens en testen handmatig op business-logicafouten. Wij vinden wat Nessus en Qualys missen.

Welke standaarden volgt Zolder bij pentests?

Wij zijn CCV Keurmerk Pentesten gecertificeerd en werken conform PTES, OWASP Testing Guide en OWASP ASVS. Afhankelijk van uw branche kunnen we ook PCI-DSS of BIO-specifieke testcases uitvoeren. Welke standaard het beste past, bespreken we tijdens het scopingsgesprek.

Kan een pentest mijn systemen verstoren?

Wij werken gecontroleerd en in overleg. Risicovolle tests voeren wij alleen uit na expliciete toestemming. In de praktijk veroorzaken onze pentests zelden verstoring. Mocht er toch iets misgaan, dan is de pentester direct bereikbaar.

Hoe vaak moet je een pentest laten uitvoeren?

Minimaal jaarlijks, en na significante wijzigingen in uw applicatie of infrastructuur. Veel compliance-frameworks (ISO 27001, NIS2, PCI-DSS) vereisen periodieke tests. Na de pentest bespreken wij wat voor uw situatie verstandig is - wij adviseren niet onnodig vaak.