Penetration test uitvoeren

Penetration test uitvoeren

Penetration test uitvoeren: dit moet je weten


De dag van vandaag is cybersecurity enorm belangrijk voor elke ondernemer die een online-platform uitbaat. Maar hoe kan je zeker weten dat jouw IT-beveiliging sterk genoeg is? Mr. Franklin vertelt waarom een penetration test uitvoeren een verstandige investering is.



Wat is een penetration test?


Een penetration test (ook wel kortweg pentest genoemd), is een test waarbij applicaties, netwerken of systemen op kwetsbaarheden worden getoetst. Dit gebeurt met toestemming van de eigenaar van de applicatie om de zwakke punten van een app of netwerk te ontdekken en zo de IT-beveiliging te optimaliseren.


De uitvoerders van een pentest worden ook wel eens de “ethische hackers” genoemd: in tegenstelling tot de echte cybercriminelen breekt een ethische hacker in de IT-systemen met de bedoeling om ze later beter te kunnen beveiligen.


Lees meer over ethische hackers en wat ze doen.



Waarom een pentest laten uitvoeren?


Door middel van een pentest verwerft men inzicht in de zwakke plekken van het onderzochte systeem. Een correct uitgevoerde pentest gaat aan de uitbater van een applicatie of netwerk een realistisch beeld kunnen geven van de gevonden kwetsbaarheden.


Een pentest laten uitvoeren is bij de ontwikkeling van eigen software een vereiste om ISO27001-certificaat te behalen. Ook is een penetratietest nuttig in combinatie met een DPIA (Data Protection Impact Assessment) om een applicatie zowel op privacy als op veiligheidsmaatregelen te evalueren en effectief ook te testen.



Soorten penetration tests


Er bestaan drie verschillende soorten pentesten. We overlopen ze even:



White box pentest


Een white box penetratietest, ook wel crystal box genoemd, is een vorm van penetration test waarbij de tester volledige toegang heeft tot het netwerk (denk bijvoorbeeld aan de broncode, achterliggende systemen etc). De tester kan de applicatie of het systeem evalueren op basis van de informatie en kennis waarover externe hackers niet beschikken.



Black box pentest


Een black box pentest is het tegenovergestelde van een white box pentest. Bij een black box pentest krijgt de pentester vooraf zeer beperkte informatie over de IT-infrastructuur, bijvoorbeeld enkel de IP-adressen en URL van de applicatie. De uitvoerder van een black box pentest opereert als het ware vanuit de positie van een niet-geïnformeerde hacker.



Grey box pentest


Een grey box pentest wordt uitgevoerd vanuit het gebruikersperspectief. De grey box penetratietest is eigenlijk een combinatie van de black box en white box pentesten. De uitvoerder van de grey box pentest krijgt voorafgaand beperkte informatie over het netwerk en achterliggende systemen.


Bovendien wordt er een gebruikersaccount in het systeem aangemaakt voor de pentester vooraleer de pentest begint. Zo kunnen de pentesters opereren vanuit de denkbeeldige positie van een hacker-insider die een zekere toegang heeft tot het systeem.



Meest voorkomende kwetsbaarheden


Het OWASP (Open Web Application Security Project) is een project rond computerbeveiliging. Deze non-profit organisatie zet zich in om de software ontwikkelaars te helpen bij het verbeteren van hun IT-producten.


Jaarlijks publiceert het OWASP een top-10 van de beveiligingsrisico’s. Het is een soort van “awareness document” met een overzicht van tien meest voorkomende veiligheidsrisico’s op het internet. Hieronder vind je de tien gevaarlijkste cyber kwetsbaarheden van het jaar 2021:


  • Broken Access Control: fouten in de toegangscontrole

  • Cryptographic failures: gevoelige gegevens worden per ongeluk blootgelegd

  • Injection: situatie waarin de gebruiker ongewenste code in een invulveld of een URL kan invullen

  • Insecure design: onveilig ontwerp van een applicatie

  • Security misconfiguration: niet inschakelen van veiligheidsvoorzieningen

  • Vulnerable and outdated components: bijvoorbeeld te oude en dus onveilige algoritmes

  • Identification and Authentication failures: bijvoorbeeld zwakke wachtwoorden of hergebruik van de sessie-identificator na een succesvolle login

  • Software and Data Integrity Failures: onvoldoende geverifieerde integriteit van data of software

  • Security Logging and Monitoring Failures: het niet loggen of monitoren van bedrijfsmiddelen

  • Server-Side Request Forgery: de server doet een verzoek met een door de gebruiker opgegeven URL die niet goed valideert



Penetration test uitvoeren: onze aanpak


​Mr. Franklin biedt web- en mobiele applicatie penetratietesten (zowel black box, gray box als white box testen) aan tegen vaste tarieven. De test wordt uitgevoerd door gecertificeerde penetration testers en bug bounty hunters die ruime ervaring hebben onder meer in de bank- en telecomsector. De penetration gebeurt enkel op de afgesproken tijdstippen zodat je als ondernemer goed alles in het oog kan houden.


De applicatie wordt gedurende een vast aantal uren onderworpen aan allerlei manuele testen (onder andere op de OWASP top-10 kwetsbaarheden) voor mobiele applicaties, web applicaties en API's. Hierbij gaan we als volgt te werk:



Stap 1: reconnaissance & enumeration


Vooraleer de werkelijke pentest plaatsvindt wordt er nuttige informatie over de applicatie en bijbehorende ICT-omgeving verzameld. We kijken onder meer naar welke frameworks er gebruikt worden, hoe de applicatie werkt, welke formulieren er worden gebruikt etc. Ook worden de endpoints en subdomeinen in kaart gebracht.



Stap 2: scannen naar kwetsbaarheden


Nadat de nodige informatie beschikbaar is gesteld, zullen onze experts de pentest uitvoeren. Hierbij worden als het ware de “zwakke plekken” van de applicatie onderzocht. We kijken naar de mogelijke risico’s en kwetsbaarheden, denkbare impact van die kwetsbaarheden op de beveiliging van het systeem en eventuele scenario’s waarbij deze kwetsbaarheden kunnen worden geëscaleerd. Dit proces is deels geautomatiseerd, maar in overgrote deel wordt het systeem handmatig getest.



Stap 3: reporting


Van onze bevindingen wordt een duidelijk Proof of Concept opgemaakt. Als ondernemer mag je van ons een uitgebreid verslag verwachten met de verschillen uitgevoerde testen, onze bevindingen over de ontdekte risico’s en de mogelijke impact.


Prijs voor 8 uren testen starten vanaf 1.000,00 € + BTW



Contacteer ons


Mr. Franklin heeft ruime ervaring met allerlei projecten rond informatiebeveiliging. Bij ons kan je terecht voor de penetratietesten van web- en mobiele applicaties tegen vaste tarieven. We werken voornamelijk met ondernemingen die eigen software ontwikkelen of software op maat laten ontwikkelen en de beveiliging van de deze systemen willen laten testen.


Mr. Franklin staat voor innovatieve maar telkens kwalitatieve service. Onder meer bieden we de ondersteuning bij de implementatie van ISMS en ISO 27001 certificering. Bovendien kunnen onze experts een DPIA-audit van elk online platform uitvoeren, zowel op privacy als cybersecurity vlak.

Voor meer informatie omtrent onze dienstverlening aarzel niet om ons vrijblijvend te contacteren.


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be