Laat uw webapplicatie testen zoals een aanvaller dat zou doen.
Uw portaal, webshop of klantomgeving bevat de data waar het aanvallers om te doen is. We testen de applicatie methodisch tegen de OWASP-richtlijnen — inclusief de logica die scanners missen.
Eén lek in uw applicatie is genoeg.
Webapplicaties zijn vaak het meest blootgestelde deel van uw organisatie: bereikbaar voor iedereen, en gekoppeld aan uw klantgegevens. Geautomatiseerde scanners vinden de bekende fouten, maar missen de kwetsbaarheden die ontstaan in úw specifieke logica — een prijs die op de client wordt berekend, een autorisatie die net niet klopt, een wachtwoordreset die te veel prijsgeeft. Wij testen die met de hand, zoals een echte aanvaller dat zou doen.
Van injectie tot business-logic.
We werken de OWASP-methodiek volledig af en vullen die aan met handmatige tests die zijn toegespitst op uw applicatie.
Injectie (SQL, NoSQL, command)
Kan invoer de onderliggende database of het systeem manipuleren of uitlezen?
Broken access control
Kan een gebruiker bij gegevens of acties die niet voor hem bedoeld zijn?
Authenticatie & sessies
Inlogflows, wachtwoordherstel, sessietokens en multi-factor — bestand tegen overname?
Cross-site scripting (XSS)
Kan kwaadaardige code in de browser van andere gebruikers worden uitgevoerd?
Business-logic
Misbruik van uw specifieke werkwijze: prijzen, kortingen, quota en volgorde van stappen.
Configuratie & headers
Security headers, foutafhandeling en blootgestelde informatie die aanvallen vergemakkelijkt.
Een rapport waar uw team mee verder kan.
Geen kale scanlijst, maar een dossier met bewijs, duiding en concrete acties — leesbaar voor techniek én directie.
Managementsamenvatting
Het risicobeeld in begrijpelijke taal — geschikt om direct met directie of klanten te delen.
Bevindingen met bewijs
Elke kwetsbaarheid met severity, CVSS-score en reproduceerbaar bewijs, zodat uw team het zelf kan verifiëren.
Concreet hersteladvies
Per bevinding een praktische oplossing, geordend naar risico en prioriteit.
Gratis hertest
Na uw herstel verifiëren we dat de kwetsbaarheden daadwerkelijk verholpen zijn.
Webapplicatie pentest — uw vragen.
Ja. We testen meerdere rollen — gast, gebruiker en beheerder — zodat we ook autorisatiefouten vinden die alleen ingelogd zichtbaar zijn. Voor grey/white box ontvangen we daarvoor testaccounts.
We stemmen vooraf af waar we testen. Waar mogelijk werken we in een acceptatieomgeving; testen we toch op productie, dan vermijden we destructieve acties en stemmen we risicovolle stappen met u af.
De OWASP Top 10 is het minimum. We werken volgens de bredere OWASP Testing Guide en vullen die aan met handmatige tests op uw business-logic — juist daar zitten de fouten die scanners niet vinden.
Kritieke bevindingen melden we direct tijdens de test, niet pas in het eindrapport, zodat u meteen kunt handelen.
Klaar om uw webapplicatie te laten testen?
Plan een vrijblijvende intake. We bepalen samen de scope en geven u vooraf een vaste prijs — geen verrassingen achteraf.