← Terug naar diensten // Offensive

Web Applicatie Pentest

OWASP, businesslogica, auth-bypass - van login tot back-end

€175 /uur CCV gecertificeerd Neem contact op

Wij testen uw webapplicaties en API's op alle bekende en onbekende kwetsbaarheden. Van OWASP Top 10 tot complexe businesslogica-fouten. Onze aanpak combineert geautomatiseerde scanning met diepgaand handmatig onderzoek door ervaren pentesters.

Wat is een webapplicatie pentest?

Een webapplicatie pentest (ook wel website pentest genoemd) is een beveiligingsonderzoek waarbij wij uw webapplicatie aanvallen zoals een echte hacker dat zou doen. Wij onderzoeken uw applicatie op SQL-injectie, cross-site scripting, gebroken autorisatie en business-logicafouten, om aan te tonen wat er werkelijk mis kan gaan: kan een aanvaller data stelen, accounts overnemen of betalingen manipuleren?

Het verschil met een geautomatiseerde scan? Tools als Burp Suite, Nuclei en ZAP vinden bekende patronen. Maar de kwetsbaarheden die er echt toe doen, IDOR's in API-endpoints, race conditions in betaalflows, JWT-misbruik, OAuth-fouten, worden vaak door scanners niet gevonden. Die vind je alleen met handmatig werk door iemand die begrijpt hoe webapplicaties in elkaar zitten.

OWASP Top 10 en verder

De OWASP Top 10 is ons startpunt, niet ons eindpunt. Wij testen op injection, broken access control, security misconfiguration, SSRF en alle andere categorieën.

Waarom een webapplicatie pentest laten uitvoeren?

Uw webapplicatie is direct bereikbaar via het internet en daarmee een voor de hand liggend doelwit:

  • Datalekken voorkomen: gebroken autorisatie leidt tot toegang tot klantgegevens, financiële data of medische dossiers.
  • Reputatie beschermen: een gehackte webapplicatie schaadt het vertrouwen van klanten direct.
  • Vroeg ontdekken is goedkoper: een kwetsbaarheid fixen in productie kost 10-100x meer dan tijdens ontwikkeling.

Wij adviseren om pentesting in te bedden in uw ontwikkelcyclus. Na elke grote release testen scheelt op termijn tijd en geld.

Onze aanpak

Onze webapplicatie pentests combineren methodisch handwerk met gerichte automatisering:

  1. Scoping - u spreekt direct met de pentester die de test uitvoert. Samen bepalen we welke onderdelen, rollen en functionaliteiten in scope zijn.
  2. Mapping & discovery - alle endpoints, parameters, API-calls en authenticatieflows in kaart brengen. Burp Suite Professional, maar ook veel handmatige verkenning.
  3. Authenticatie & autorisatie - inlogmechanismen (brute force, credential stuffing, MFA-bypass), sessiemanagement en RBAC. Kan een gewone gebruiker admin-acties uitvoeren? Kan klant A data van klant B inzien?
  4. Input handling - SQL, NoSQL, LDAP, OS command injection, XSS (reflected, stored, DOM-based), SSRF, XXE, template injection.
  5. Business logic - handmatig testen van workflows: kan een gebruiker stappen overslaan, prijzen manipuleren, acties herhalen die eenmalig zouden moeten zijn?
  6. Rapportage - managementsamenvatting en technische write-ups met reproduceerstappen. Wij hanteren normaliter een kwalitatieve risicoanalyse (severity); CVSS-scores leveren wij op aanvraag. Wij bellen u bij kritieke bevindingen.
  7. Hertest - na uw fixes kunnen wij verifiëren of de kwetsbaarheden zijn opgelost.

Hoe verloopt een webapplicatie pentest?

Een webapplicatie pentest doorloopt bij ons vaste fasen. Het begint met scoping: samen bepalen we welke applicatie, welke gebruikersrollen en welke functionaliteit in scope zijn. Daarna volgt mapping, waarbij wij alle endpoints, parameters en API-calls in kaart brengen. In de testfase lopen wij systematisch de OWASP-categorieën langs en zoeken wij naar applicatiespecifieke fouten. Vinden wij een kwetsbaarheid, dan tonen wij via gecontroleerde exploitatie de werkelijke impact aan, zonder uw productiedata of beschikbaarheid in gevaar te brengen. Het traject sluit af met rapportage en een hertest na uw fixes. Bij kritieke bevindingen wachten wij niet op het rapport, maar bellen wij u direct. Zie de methodiek hierboven voor de volledige stappen.

Welke kwetsbaarheden vinden wij het vaakst?

De kwetsbaarheden die wij in de praktijk het vaakst rapporteren, sluiten aan op de OWASP Top 10, maar zitten zelden in de voor de hand liggende hoek:

  • Broken access control en IDOR: een gebruiker die via een aangepaste ID de gegevens van een andere klant inziet, of acties uitvoert waarvoor hij geen rechten heeft.
  • Injection: SQL-injectie en cross-site scripting (reflected, stored en DOM-based) komen nog steeds voor, vaak op plekken die scanners overslaan.
  • SSRF: de applicatie laten verbinden met interne systemen of cloud-metadata.
  • Authenticatie- en sessiefouten: zwak sessiebeheer, JWT-misbruik, OAuth-misconfiguraties en MFA-bypass.
  • Business-logica fouten: stappen overslaan in een betaalflow, prijzen manipuleren of eenmalige acties herhalen.
  • Security misconfiguration: standaardwachtwoorden, te ruime CORS-instellingen of debug-functionaliteit in productie.

Wij blazen bevindingen niet op: een laag-risico melding rapporteren wij als laag risico, en kritieke zaken krijgen de prioriteit die ze verdienen.

Welke standaarden en methodieken volgen wij?

Wij toetsen tegen erkende standaarden zodat onze test reproduceerbaar en volledig is. De OWASP Top 10 vormt het vertrekpunt, de OWASP Web Security Testing Guide (WSTG) levert de concrete testcases per categorie, en voor diepgaandere verificatie gebruiken wij de OWASP Application Security Verification Standard (ASVS). Onze werkwijze volgt daarnaast de fasering van de Penetration Testing Execution Standard (PTES). Zolder voert pentests uit onder het CCV Keurmerk Pentesten, wat betekent dat onze processen en rapportage onafhankelijk zijn getoetst. Deze standaarden sluiten direct aan op de eisen vanuit NIS2, ISO 27001 en PCI-DSS, zodat u een pentestrapport in handen heeft dat audits en certificeringstrajecten ondersteunt.

Welke tools gebruiken wij?

Wij werken met de tools die professionele pentesters dagelijks gebruiken: Burp Suite Professional als centrale proxy en testomgeving, Nuclei voor snelle templated checks, OWASP ZAP als aanvulling en sqlmap voor het verifiëren van injectie-kwetsbaarheden. Tools brengen ons snel de bekende patronen in beeld, maar zij zijn nadrukkelijk een hulpmiddel, geen vervanging. De kwetsbaarheden met de grootste impact, IDOR's, business-logica fouten, auth-bypasses en race conditions, vindt geen scanner. Die komen alleen aan het licht door handmatig onderzoek van een pentester die begrijpt hoe uw applicatie werkt. Bij ons ligt het zwaartepunt daarom altijd op handwerk; automatisering ondersteunt, het stuurt niet.

Hoe lang duurt een webapplicatie pentest?

De doorlooptijd van een webapplicatie pentest ligt doorgaans tussen de één en drie weken. Hoe lang de test precies duurt, hangt af van de omvang van de applicatie: het aantal pagina's en functies, het aantal gebruikersrollen dat wij met verschillende rechtenniveaus moeten testen, en de complexiteit van de onderliggende API's en businesslogica. Een overzichtelijke applicatie met één gebruikersrol testen wij sneller dan een uitgebreid klantportaal met meerdere rollen, integraties en betaalflows. Tijdens het scopingsgesprek schatten wij het benodigde aantal dagen in, zodat u vooraf weet waar u aan toe bent. Na de testfase volgt de rapportage; de hertest plannen wij in nadat u de bevindingen heeft opgelost.

Wat kost een webapplicatie pentest?

Ons uurtarief is €175 per uur. De totale investering hangt af van de omvang van uw applicatie. Na een gratis scopingsgesprek ontvangt u een vaste offerte.

Webapplicatie pentest en compliance

Steeds meer wet- en regelgeving vraagt om aantoonbaar veilige applicaties. NIS2 verplicht organisaties in essentiële en belangrijke sectoren om passende technische maatregelen te nemen en deze te kunnen onderbouwen. ISO 27001 vereist periodieke technische verificatie van uw beveiliging, en een pentest is daarvoor de geëigende vorm. Verwerkt u kaartgegevens, dan stelt PCI-DSS expliciet pentesting verplicht. En onder de AVG/GDPR moet u kunnen aantonen dat u passende beveiliging treft rond persoonsgegevens. Een helder pentestrapport met bevindingen, risicoclassificatie en hertest levert het bewijs dat auditors, certificerende instanties en opdrachtgevers verlangen. Zo gebruikt u onze rapportage niet alleen om uw applicatie veiliger te maken, maar ook om audits en aanbestedingen te onderbouwen.

Methodologie

1

Scoping

Inventarisatie van applicatie-omvang, authenticatie en kritieke functionaliteit.

2

Recon & Mapping

In kaart brengen van alle endpoints, parameters en API-calls.

3

Vulnerability Assessment

Systematisch testen op OWASP Top 10 en applicatiespecifieke kwetsbaarheden.

4

Exploitatie

Aantonen van impact via gecontroleerde exploitatie.

5

Rapportage & Hertest

Prioritair rapport met proof-of-concept en hertest na fixes.

Veelgestelde vragen

Hebben jullie toegang tot de broncode nodig?

Bij een blackbox-test niet. Bij een whitebox-test wel, maar we doen dit altijd in overleg.

Kan ik de pentest laten uitvoeren op mijn staging-omgeving?

Ja, dat raden wij zelfs aan. Staging voorkomt risico voor productiedata. Wel moet de staging-omgeving representatief zijn qua configuratie. Wij helpen u inschatten of dat het geval is.

Testen jullie ook API's en authenticatie?

Ja. Wij testen zowel de webapplicatie als de onderliggende API's, inclusief authenticatie, sessiebeheer en autorisatie (IDOR, privilege escalation). Wij testen standaard met ingelogde accounts op verschillende rechtenniveaus. Voor een API zonder frontend (denk aan een mobiele backend of microservices) bieden wij ook een losse API pentest.

Welke standaarden volgen jullie?

Wij toetsen tegen de OWASP Top 10 en de OWASP Web Security Testing Guide (WSTG), aangevuld met handmatig onderzoek naar business-logica fouten die geautomatiseerde scanners missen.

Is een website pentest hetzelfde als een web applicatie pentest?

In de praktijk worden "website pentest" en "web applicatie pentest" door elkaar gebruikt. Wij testen elke webapplicatie of website met dynamische functionaliteit: van een marketingsite met een contactformulier tot een complex klantportaal. Hoe meer functionaliteit, gebruikersrollen en data, hoe uitgebreider de test. Wat past bij uw site bepalen we in het scopingsgesprek.

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.