RESYNC · KENNISBANK

Praktische kennis over pentest, compliance & AI-security.

Geen marketing, geen oppervlakkige whitepapers. Wat een tester met de handen in de code dagelijks tegenkomt — geschreven voor mensen die hun systemen daadwerkelijk willen begrijpen.

Zip Slip in xslweb: een ontbrekende padcheck in een ingebouwde unzip-functie

De ingebouwde unzip-functie van het Java XSLT-framework xslweb extraheerde ZIP-bestanden zonder padcontrole. Die fout reisde sinds 2015 mee in elke release. De technische anatomie van de bug, de fix, en waarom dit patroon zo vaak terugkomt.

Lees artikel →

De 2 minuten waarin SameSite=Lax geen CSRF-bescherming biedt

Chrome's "Lax+POST"-mitigatie stuurt cookies zonder expliciete SameSite-attribuut de eerste 2 minuten alsnog mee bij cross-site POST-requests. En dat venster is makkelijker open te houden dan u denkt.

Lees artikel →

Hoe vaak moet u een penetratietest laten doen?

De vuistregel is minstens jaarlijks én na elke significante wijziging. Maar waar komt die regel vandaan, wat telt als "significant", en wat vragen PCI DSS en NIS2 precies? Een praktische uitleg, inclusief wanneer eens per jaar juist te weinig is.

Lees artikel →

Cyberbeveiligingswet (NIS2): valt u eronder en wat verandert er?

De Eerste Kamer stemt op 7 juli 2026; de verwachte inwerkingtreding is verschoven naar 15 augustus 2026, zonder overgangsperiode. Valt uw organisatie eronder, wat houden zorgplicht, meldplicht en registratieplicht in, en waar past een penetratietest in dat geheel? Een actuele, praktische uitleg.

Lees artikel →

Wat is een penetratietest en wanneer heeft u er één nodig?

Het verschil tussen een pentest, een vulnerability scan en een audit — geschreven voor de IT-manager, CISO of bestuurder die voor het eerst een penetratietest overweegt. Inclusief praktische beslisboom voor "moet ik nu testen of niet?"

Lees artikel →

NIS2 en gemeentes: wat verwacht de toezichthouder van u?

De Cyberbeveiligingswet komt eraan (naar verwachting 15 augustus 2026). Bestuurders worden persoonlijk aansprakelijk. Wat moet uw gemeente concreet doen — en wat is het verschil tussen "papierwerk op orde" en "aantoonbaar veilig"? Compacte uitleg van wat de RDI in de praktijk verwacht.

Lees artikel →

Waarom vibe-coded apps vaker kwetsbaar zijn

Apps gebouwd met Cursor, Bolt, Lovable of v0 bevatten consistent dezelfde kwetsbaarheidspatronen. Niet omdat AI "slecht" is — maar omdat AI optimaliseert voor "werkend", niet voor "veilig". De anatomie van het probleem, met voorbeelden.

Lees artikel →

Klaar voor een echte pentest?

Theorie is leuk, bewijs is beter. Vraag een gratis intake aan — vaste prijs, hertest inbegrepen, reactie binnen 1 werkdag.

Plan gratis intake →