← Terug naar diensten // Offensive

Web Applicatie Pentest

OWASP, businesslogica, auth-bypass - van login tot back-end

€175 /uur CCV gecertificeerd

Wij testen uw webapplicaties en API's op alle bekende en onbekende kwetsbaarheden. Van OWASP Top 10 tot complexe businesslogica-fouten. Onze aanpak combineert geautomatiseerde scanning met diepgaand handmatig onderzoek door ervaren pentesters.

Wat is een webapplicatie pentest?

Een webapplicatie pentest is een beveiligingsonderzoek waarbij wij uw webapplicatie aanvallen zoals een echte hacker dat zou doen. SQL-injectie, cross-site scripting, gebroken autorisatie, business-logicafouten, wij testen het allemaal. Om aan te tonen wat er werkelijk mis kan gaan: kan een aanvaller data stelen, accounts overnemen of betalingen manipuleren?

Het verschil met een geautomatiseerde scan? Tools als Burp Suite, Nuclei en ZAP vinden bekende patronen. Maar de kwetsbaarheden die wij het vaakst rapporteren, IDOR's in API-endpoints, race conditions in betaalflows, JWT-misbruik, OAuth-fouten, worden vaak door scanners niet gevonden. Die vind je alleen met handmatig werk door iemand die begrijpt hoe webapplicaties in elkaar zitten.

OWASP Top 10 en verder

De OWASP Top 10 is ons startpunt, niet ons eindpunt. Wij testen op injection, broken access control, security misconfiguration, SSRF en alle andere categorieën.

Waarom een webapplicatie pentest laten uitvoeren?

Uw webapplicatie staat direct bloot aan het internet. Het is het eerste wat een aanvaller ziet:

  • Datalekken voorkomen: gebroken autorisatie leidt tot toegang tot klantgegevens, financiële data of medische dossiers.
  • Reputatie beschermen: een gehackte webapplicatie schaadt het vertrouwen van klanten direct.
  • Compliance: ISO 27001, NIS2, PCI-DSS en AVG/GDPR vereisen aantoonbaar veilige applicaties.
  • Vroeg ontdekken is goedkoper: een kwetsbaarheid fixen in productie kost 10-100x meer dan tijdens ontwikkeling.

Wij adviseren om pentesting in te bedden in uw ontwikkelcyclus. Na elke grote release testen scheelt op termijn tijd en geld.

Onze aanpak

Onze webapplicatie pentests combineren methodisch handwerk met gerichte automatisering:

  1. Scoping - u spreekt direct met de pentester die de test uitvoert. Samen bepalen we welke onderdelen, rollen en functionaliteiten in scope zijn.
  2. Mapping & discovery - alle endpoints, parameters, API-calls en authenticatieflows in kaart brengen. Burp Suite Professional, maar ook veel handmatige verkenning.
  3. Authenticatie & autorisatie - inlogmechanismen (brute force, credential stuffing, MFA-bypass), sessiemanagement en RBAC. Kan een gewone gebruiker admin-acties uitvoeren? Kan klant A data van klant B inzien?
  4. Input handling - SQL, NoSQL, LDAP, OS command injection, XSS (reflected, stored, DOM-based), SSRF, XXE, template injection.
  5. Business logic - handmatig testen van workflows: kan een gebruiker stappen overslaan, prijzen manipuleren, acties herhalen die eenmalig zouden moeten zijn?
  6. Rapportage - managementsamenvatting, technische write-ups met reproduceerstappen, CVSS-scores en prioriteitsadvies. Wij bellen u bij kritieke bevindingen - die gaan niet eerst drie weken in een rapport liggen.
  7. Hertest - na uw fixes kunnen wij verifiëren of de kwetsbaarheden zijn opgelost.

Wat kost een webapplicatie pentest?

Ons uurtarief is €175 per uur. De totale investering hangt af van de omvang van uw applicatie. Na een gratis scopingsgesprek ontvangt u een vaste offerte.

Methodologie

1

Scoping

Inventarisatie van applicatie-omvang, authenticatie en kritieke functionaliteit.

2

Recon & Mapping

In kaart brengen van alle endpoints, parameters en API-calls.

3

Vulnerability Assessment

Systematisch testen op OWASP Top 10 en applicatiespecifieke kwetsbaarheden.

4

Exploitatie

Aantonen van impact via gecontroleerde exploitatie.

5

Rapportage & Hertest

Prioritair rapport met proof-of-concept en hertest na fixes.

Veelgestelde vragen

Hebben jullie toegang tot de broncode nodig?

Bij een blackbox-test niet. Bij een whitebox-test wel, maar we doen dit altijd in overleg.

Kan ik de pentest laten uitvoeren op mijn staging-omgeving?

Ja, dat raden wij zelfs aan. Staging voorkomt risico voor productiedata. Wel moet de staging-omgeving representatief zijn qua configuratie. Wij helpen u inschatten of dat het geval is.

Gerelateerde diensten

// Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op