Web Applicatie
Penetratietest, handmatig, grondig, bruikbaar.
Een handmatige webapplicatie-pentest op basis van OWASP Top 10, business logic en API-misbruik. Geen geautomatiseerde scanner die u zelf had kunnen draaien, een echte tester die uw applicatie binnendringt zoals een aanvaller dat zou doen. Wilt u eerst het bredere kader zien? Bekijk dan de pagina penetratietest laten uitvoeren voor scope-categorieën, prijsmodel en het complete proces.
OWASP Top 10, en alles wat een scanner mist.
Automatische scanners vinden bekende kwetsbaarheden met bekende signatures. Wat ze missen: fouten in de businesslogica, autorisatie-bypasses, multi-step exploitatie en kwetsbaarheden die ontstaan uit de combinatie van meerdere zwaktes. Resync test handmatig op de onderstaande categorieën, diepgaand en in de context van uw applicatie.
Authenticatie & sessiebeheer
- Wachtwoord- en MFA-implementatie, brute-force-bescherming en account lockout
- Sessietoken-entropie, lifecycle, fixation en hijacking-scenario's
- OAuth/OIDC-flows en token storage (cookies, localStorage, refresh)
- Password-reset-flows en misbruik van accountherstel
Autorisatie & access control
- Insecure Direct Object References (IDOR), horizontale en verticale escalation
- Role-based access control (RBAC) bypasses op API- en UI-niveau
- Tenant isolation in multi-tenant SaaS-omgevingen
- Admin endpoints die per ongeluk publiek bereikbaar zijn
Injectie & invoervalidatie
- SQL injection (klassiek, blind, second-order, NoSQL)
- Cross-Site Scripting (reflected, stored, DOM-based)
- Command injection en server-side template injection
- XML External Entity (XXE) en deserialization vulnerabilities
API & backend
- REST API endpoints op authenticatie, autorisatie en rate limiting
- GraphQL introspection, query depth, en field-level authorization
- Mass assignment en parameter pollution
- Server-Side Request Forgery (SSRF) tegen interne services
Business logic
- Race conditions in betalings-, voucher- of inschrijvingsflows
- Prijsmanipulatie, kortingsmisbruik en negative-quantity exploits
- Workflow bypasses (stap overslaan, status manipuleren)
- Logica-fouten die uniek zijn aan uw applicatiedomein
Handmatige test vs. geautomatiseerde scan.
Een geautomatiseerde scanner is een prima starthulpmiddel, maar het is geen pentest. Hieronder wat scanners doen, en wat ze missen:
Wat een scanner vindt
Bekende CVE's, ontbrekende headers, verouderde libraries, default credentials, simpele XSS-payloads. Nuttig, maar bekend bij iedereen, inclusief uw IT-partner.
Wat Resync vindt
Logische autorisatiefouten, IDOR's op identifiers die de scanner niet ziet, race conditions, multi-step exploits, en kwetsbaarheden die alleen door applicatiecontext begrijpelijk zijn.
Bij een SaaS-startup vond Resync een API-endpoint dat een UUID accepteerde als query-parameter. De scanner zag een correct beveiligd endpoint. Handmatige test ontdekte dat door simpelweg het tenant-ID te veranderen, alle klantdata van andere organisaties opvraagbaar was. Onmogelijk te detecteren zonder begrip van het applicatiemodel.
Bruikbaar voor bestuur én ontwikkelteam.
Een pentestrapport dat eindigt in een lade is geld weggegooid. Het rapport van Resync is opgebouwd uit twee lagen, geschikt voor zowel een CISO/MT-presentatie als voor een ontwikkelaar die dezelfde dag wil patchen.
Managementsamenvatting (1–2 pagina's)
- Risico-overzicht in begrijpelijke taal, geen jargon
- CVSS-score en bedrijfsmatige impact per bevinding
- Strategische aanbevelingen en compliance-context (NIS2, AVG, ISO 27001)
Technische bevindingen
- Exacte reproductiestappen, een ontwikkelaar kan elke bevinding zelf nalopen
- Screenshots en HTTP request/response logs van de exploit
- Concrete code- of configuratieaanbeveling, geen generieke OWASP-link
- Prioritering op basis van uitbuitbaarheid en impact
Hertest & eindverklaring
- Na het patchen: hertest van alle bevindingen, inbegrepen in de prijs
- Aantoonbare eindverklaring richting toezichthouders, klanten of bestuur
- Officieel bewijs van herstel, bruikbaar voor SOC 2, ISO 27001 of NIS2-trajecten
Wanneer een webapplicatie-pentest het juiste antwoord is.
Een handmatige webapplicatie-pentest is zinvol vóór een productierelease, bij een audit-traject (SOC 2, ISO 27001, NEN 7510), na een grote refactor, of als terugkerende controle bij een SaaS-product. Resync werkt regelmatig voor:
- SaaS-startups die een SOC 2- of ISO 27001-traject ingaan en een onafhankelijke pentest nodig hebben
- Zorginstellingen waar EPD-portalen en patiëntenapplicaties onder NEN 7510 vallen
- Gemeentes met burgerportalen en interne applicaties onder NIS2 en ENSIA
- Onderwijsinstellingen met leerlingen- en studentensystemen onder IBP
- Advocatuur & notariaat met cliëntportalen en gevoelige dossierdata
- Vibe-coded apps gegenereerd met Cursor, Bolt of Lovable, voorspelbare kwetsbaarheidspatronen
Klaar voor uw webapplicatie-pentest?
Eén gesprek is genoeg om scope, planning en prijs concreet te maken. Gratis intake, offerte met vaste prijs, hertest inbegrepen.
Plan gratis intake → Terug naar home