Het regelmatig laten screenen van webapplicaties op veiligheidszwakheden wordt steeds belangrijker. Hackers
ontwikkelen zich razendsnel en vinden nieuwe manieren om websites aan te vallen. We zien een verschuiving dat
niet alleen grote Multinationals getroffen worden door hackers, crackers of attackers, maar dat ze zich steeds
meer gaan richten op het Midden- en Kleinbedrijf segment. Het Midden- en Kleinbedrijf zijn vaak in de regel een
makkelijker doelwit, waarbij men eerder het gewenste resultaat kan bereiken omdat dit segment vaak niet
beschikt over een dedicated ICT-beveiligingsdeskundige, waar Multinationals vaak wel over beschikken.
Uw webapplicatie is het visitekaartje van uw organisatie
Web Application assessment
Het visitekaartje van uw organisatie wordt vaak vertegenwoordigd door uw webapplicatie. Het impliceert wat u doet en waar het bedrijf voor staat. Het is van belang dat de informatie die hier vermeld wordt actueel en up to date is. Net als het up to date zijn van de informatie van uw webapplicatie, is het eveneens van belang dat uw webapplicatie ook up to date is betreffende beveiligingsupdates. Hoe vervelend is het wanneer uw webapplicatie misbruikt is door kwaadwillenden? Dit kan als gevolg hebben; reputatie schade en eventueel het veroorzaken van een datalek. Het is daarom van belang om uw webapplicatie periodiek te updaten en te laten checken op mogelijke aanwezige kwetsbaarheden.
Web applicatie assessment (CYBR-WAA)
Cybrhat zal natuurgetrouw als mogelijk het volgende uitvoeren om uw omgeving te testen in de vorm van een BlackBox en/of Grey Box benadering volgens het OWASP Top-10 principe, waarbij onderzocht wordt volgens de Top-10 Web applicatie beveiliging risico's:
Black Box benadering: Analyse zonder enige voorkennis van de opbouw van de webapplicatie.
Grey Box benadering: Analyse met enige voorkennis van de opbouw van de webapplicatie, zoals bijv. login gegevens van het klantportaal etc.
-
Information gathering en enumeration
-
Vulnerability analyse
-
Exploitation
-
Reporting, conclusion and recommendation
-
Report interview
-
- Portscanning
-
- Structuur en opbouw van de website (Webcrawling)
-
- CMS-structuren en plugins
-
- HTTP Header verificatie en TLS SSL-zwakheden
-
- Herkenning van O/s en webapplicatie versie (OS fingerprint)
-
- Broken links
-
- SQL en/of O/s injection
-
- XSS
-
- LFI/RFI en directory-listing
-
- Zwakheden van webForms en Code exposure
-
- Gevoelige data exposure
-
- Misconfiguraties (error informatie)
-
- Mogelijk misbruik van autorisatie na authenticatie
-
- Aan de hand van “information gathering” exploit list verificatie.
-
- Remote code execution
-
- Uw webapplicatie is het visitekaartje van uw organisatie
- Voorkom reputatie schade en eventueel het veroorzaken van een datalek
Vragen over Web application assessment
Cybersecurity
Providing professional security in an insecure digital world.