Op verzoek delen wij een sample report zodat u precies weet wat u na de pentest ontvangt.
Meer dan een scanner
Geautomatiseerde vulnerability scanners vinden de laaghangend fruit — maar missen structureel de kwetsbaarheden die er werkelijk toe doen. Onze pentesters denken als aanvallers: ze begrijpen applicatielogica, koppelen bevindingen aan elkaar en zoeken naar ketens van kwetsbaarheden die samen een kritiek risico vormen. Onze web application penetration tests zijn gebaseerd op de OWASP Testing Guide en de PTES (Penetration Testing Execution Standard), gecombineerd met jarenlange praktijkervaring in de Nederlandse markt.OWASP Top 10 — volledig gedekt
De OWASP Top 10 is de industrie-standaard voor de meest kritieke webkwetsbaarheden. Wij testen systematisch op alle tien categorieën:- Broken Access Control: Autorisatiefouten waardoor gebruikers toegang krijgen tot data of functies die niet voor hen bedoeld zijn
- Cryptographic Failures: Onveilige opslag of overdracht van gevoelige data, zwakke encryptie, blootgestelde credentials
- Injection (SQL, NoSQL, LDAP, OS): Ongesanitiseerde invoer die tot data-extractie, -manipulatie of -vernietiging kan leiden
- Insecure Design: Architecturale fouten die security by design missen
- Security Misconfiguration: Onjuiste configuraties in servers, frameworks, cloud-omgevingen en applicaties
- Cross-Site Scripting (XSS): Reflected, stored en DOM-based XSS die sessionhijacking en phishing mogelijk maakt
- Vulnerable Components: Kwetsbare bibliotheken, frameworks en afhankelijkheden
- Authentication Failures: Zwakke wachtwoordpolicies, ontbrekende MFA, sessie-fixatie
- Software & Data Integrity Failures: Onveilige CI/CD-pipelines, deserialisatiefouten
- Logging & Monitoring Failures: Onvoldoende detectiecapaciteit voor aanvallen en datalekken
Business Logic Assessment
Business logic kwetsbaarheden zijn de meest onderschatte categorie: fouten in de workflow of bedrijfslogica van uw applicatie die geautomatiseerde tools nooit vinden. Denk aan prijsmanipulatie in een checkout, het omzeilen van goedkeuringsprocessen, of het misbruiken van kortingscodes. Onze pentesters begrijpen uw applicatie en zoeken actief naar deze logische fouten.API Security
Moderne webapplicaties draaien op API's — en API's zijn een primaire aanvalsvector. Wij testen REST, GraphQL en SOAP API's op de OWASP API Security Top 10, inclusief broken object level authorization (BOLA), mass assignment, rate limiting en JWT-kwetsbaarheden.Actionable Remediation
Elke bevinding in ons rapport is voorzien van: een duidelijke beschrijving van de kwetsbaarheid, een proof-of-concept demonstratie, de potentiële impact, een CVSS-score en — het belangrijkste — concrete stappen om het probleem op te lossen. Geen abstracte aanbevelingen, maar werkbare fixes voor uw ontwikkelteam.Kosten en onze pentesting aanpak
- Scoping: Inventarisatie van de applicatie, authenticatieniveaus, API-endpoints en testomgeving
- Reconnaissance: Passieve en actieve verkenning van de aanvalsvlakken
- Handmatige testing: Systematische, diepgaande tests op alle OWASP-categorieën plus applicatiespecifieke logica
- Rapportage: Executive summary en technisch rapport met prioriteitsscoring en remediationadvies
- Retesting: Verificatie dat gemelde kwetsbaarheden correct zijn opgelost