OSCP & eWPTxv2 gecertificeerd

Web Applicatie
Penetratietest — handmatig, grondig, bruikbaar.

Een handmatige web applicatie pentest op basis van OWASP Top 10, business logic en API-misbruik. Geen geautomatiseerde scanner die u zelf had kunnen draaien — een echte tester die uw applicatie binnendringt zoals een aanvaller dat zou doen.

Plan gratis intake → Wat wordt er getest?
Vaste prijs op basis van scope Hertest inbegrepen NDA standaard Reactie binnen 1 werkdag
Wat wordt er getest

OWASP Top 10 — en alles wat een scanner mist.

Automatische scanners vinden bekende kwetsbaarheden met bekende signatures. Wat ze missen: business logic-fouten, autorisatie-bypasses, multi-step exploitatie en kwetsbaarheden die ontstaan uit de combinatie van meerdere zwaktes. Resync test handmatig op de onderstaande categorieën — diepgaand en in de context van uw applicatie.

Authenticatie & sessiebeheer

  • Wachtwoord- en MFA-implementatie, brute-force-bescherming en account lockout
  • Sessie token entropy, lifecycle, fixation en hijacking-scenarios
  • OAuth/OIDC-flows en token storage (cookies, localStorage, refresh)
  • Password reset flows en account recovery misbruik

Autorisatie & access control

  • Insecure Direct Object References (IDOR) — horizontale en verticale escalation
  • Role-based access control (RBAC) bypasses op API en UI niveau
  • Tenant isolation in multi-tenant SaaS-omgevingen
  • Admin endpoints die per ongeluk publiek bereikbaar zijn

Injectie & input validation

  • SQL injection (klassiek, blind, second-order, NoSQL)
  • Cross-Site Scripting (reflected, stored, DOM-based)
  • Command injection en server-side template injection
  • XML External Entity (XXE) en deserialization vulnerabilities

API & backend

  • REST API endpoints op authenticatie, autorisatie en rate limiting
  • GraphQL introspection, query depth, en field-level authorization
  • Mass assignment en parameter pollution
  • Server-Side Request Forgery (SSRF) tegen interne services

Business logic

  • Race conditions in betalings-, voucher- of inschrijvingsflows
  • Prijsmanipulatie, kortingsmisbruik en negative-quantity exploits
  • Workflow bypasses (stap overslaan, status manipuleren)
  • Logica-fouten die uniek zijn aan uw applicatiedomein
Het verschil

Handmatige test vs. geautomatiseerde scan.

Een geautomatiseerde scanner is een prima starthulpmiddel — maar het is geen pentest. Hieronder wat scanners doen, en wat ze missen:

Wat een scanner vindt

Bekende CVE's, ontbrekende headers, verouderde libraries, default credentials, simpele XSS-payloads. Nuttig — maar bekend bij iedereen, inclusief uw IT-partner.

Wat Resync vindt

Logische autorisatiefouten, IDOR's op identifiers die de scanner niet ziet, race conditions, multi-step exploits, en kwetsbaarheden die alleen door applicatiecontext begrijpelijk zijn.

Praktijkvoorbeeld

Bij een SaaS-startup vond Resync een API-endpoint dat een UUID accepteerde als query parameter. De scanner zag een correct beveiligd endpoint. Handmatige test ontdekte dat door simpelweg het tenant-ID te veranderen, alle klantdata van andere organisaties opvraagbaar was. Onmogelijk te detecteren zonder begrip van het applicatiemodel.

Het rapport

Bruikbaar door bestuur én door uw ontwikkelteam.

Een pentestrapport dat eindigt in een lade is geld weggegooid. Het rapport van Resync is opgebouwd uit twee lagen — geschikt voor zowel een CISO/MT-presentatie als voor een ontwikkelaar die dezelfde dag wil patchen.

Managementsamenvatting (1–2 pagina's)

  • Risico-overzicht in begrijpelijke taal — geen jargon
  • CVSS-score en bedrijfsmatige impact per bevinding
  • Strategische aanbevelingen en compliance-context (NIS2, AVG, ISO 27001)

Technische bevindingen

  • Exacte reproductiestappen — een ontwikkelaar kan elke bevinding zelf nalopen
  • Screenshots en HTTP request/response logs van de exploit
  • Concrete code- of configuratieaanbeveling — geen generieke OWASP-link
  • Prioritering op basis van uitbuitbaarheid en impact

Hertest & eindverklaring

  • Na het patchen: hertest van alle bevindingen — inbegrepen in de prijs
  • Aantoonbare eindverklaring richting toezichthouders, klanten of bestuur
  • Officieel bewijs van herstel — bruikbaar voor SOC 2, ISO 27001 of NIS2-trajecten
Voor wie

Wanneer een web app pentest het juiste antwoord is.

Een handmatige web applicatie pentest is zinvol vóór een productierelease, bij een audit-traject (SOC 2, ISO 27001, NEN 7510), na een major refactor, of als terugkerende controle bij een SaaS-product. Resync werkt regelmatig voor:

  • SaaS-startups die een SOC 2 of ISO 27001 traject ingaan en een onafhankelijke pentest nodig hebben
  • Zorginstellingen waar EPD-portalen en patiëntenapplicaties onder NEN 7510 vallen
  • Gemeentes met burgerportalen en DigiD-koppelingen onder NIS2
  • Onderwijsinstellingen met leerlingen- en studentensystemen onder IBP
  • Advocatuur & notariaat met cliëntportalen en gevoelige dossierdata
  • Vibe-coded apps gegenereerd met Cursor, Bolt of Lovable — voorspelbare kwetsbaarheidspatronen

Klaar voor uw web app pentest?

Eén gesprek is genoeg om scope, planning en prijs concreet te maken. Gratis intake, vaste prijs offerte, hertest inbegrepen.

Plan gratis intake → Terug naar home
Reactie binnen 1 werkdag Vaste prijs NDA standaard
Gerelateerd

Specifieke sectorpagina's

ZORG · NEN 7510

Penetratietest voor zorginstellingen

EPD-portalen, patiëntenapplicaties en medische apparatuur — met NEN 7510-context.
GEMEENTE · NIS2

Penetratietest voor gemeentes

DigiD-koppelingen, burgerportalen en NIS2-compliant rapportage.
VIBE-CODED · NIEUW

Vibe-coded app security audit

Apps gebouwd met Cursor, Bolt of Lovable — voorspelbare kwetsbaarheidspatronen.
Gratis intake aanvragen →