pentest-console · geautoriseerde scope

Web Application Penetration Testing

Met schriftelijke toestemming zoeken we actief naar securityzwaktes in je webapplicatie. Login flows, APIs, dataverwerking: we testen het. Anders dan een external rating report is dit hands-on geautoriseerde testing met bewijs van wat we vinden.

FrontendUI en client-sideAPI'sBackend-endpointsAuthLogin en sessiesLogicBedrijfsregels

Oplevering

Wat je concreet terugkrijgt

Elke opdracht eindigt met bruikbare output voor je organisatie. Geen slides. Bekijk hieronder voorbeelden per deliverable.

Bevinding in detail

Reproduceerbare stappen, ernst en impact. Elke bevinding zoals je organisatie het nodig heeft.

Finding · PT-007

CVSS 9,1

NX-PT-007Voorbeeld
Kritiek

SQL-injectie in zoekparameter

Affected: /api/v2/search · PostgreSQL 14 backend · auth-service pod

Reproduction steps

  1. 1.Ga naar /api/v2/search?q=test en bevestig de standaard JSON-response
  2. 2.Injecteer payload: ' OR 1=1-- in de q-parameter
  3. 3.Volledige gebruikerstabel terug inclusief e-mail, rol en last_login
  4. 4.Herhaal met UNION SELECT om leestoegang tot sessietabel te bevestigen
  5. 5.Controleer of WAF of rate limiting herhaalde exploitpogingen blokkeert

Impact

Ongeauthenticeerde leestoegang tot alle gebruikersrecords inclusief e-mailadressen, wachtwoordhashes en sessietokens. Maakt accountenumeratie en credential stuffing mogelijk.

Remediation

Alle databasequeries parametriseren via prepared statements. SQL-metatekens blokkeren op invoerlaag. WAF-regel op /api/v2/search. Sessiesecrets roteren na de fix.

Noctulux · Vertrouwelijk voorbeeldPagina 1 van 28

Praktisch

Wat je kunt verwachten

Voor wie de opdracht past, hoe we samenwerken, en waar we eerlijk over grenzen zijn.

Voor wie

  • Applicaties met gevoelige data, betalingen of klantaccounts
  • Securitycheck vóór release of een grote update
  • Contractuele of inkoopvereisten voor technische testing (geen certificering)
  • Vervolg na een external rating report als issues diepere validatie nodig hebben

Hoe de opdracht loopt

  1. 1. Intakegesprek

    URLs, omgevingen, credentials en testafspraken scherp krijgen

  2. 2. Schriftelijke autorisatie en scopebevestiging vóór de tests

  3. 3. Hands-on testing binnen de afgesproken periode (staging heeft voorkeur; productie alleen met expliciete afspraak)

  4. 4. Validatie van bevindingen, rapport opstellen en interne kwaliteitsreview

  5. 5. Rapportoplevering met optionele readout voor engineering en risk-betrokkenen

Eerlijk over grenzen

  • Tests zijn begrensd door scope, omgeving en tijd. Niet elke attack path wordt afgedekt
  • Staging heeft de voorkeur. Tests in productie vragen expliciete safeguards
  • Bevindingen beschrijven risico binnen scope. Geen certificering tegen een standaard
  • Herstelvalidatie is een aparte opdracht als je formeel hertestbewijs nodig hebt

Dienstpakket

Wat je krijgt. En wat niet.

Vast output en scope, afgestemd vóór we starten. Geen verrassingen achteraf.

Web application pentest rapport

  • Bevindingenoverzicht met severity, confidence en hersteladvies
  • Bewijsstukken voor interne distributie (geredigeerd)
  • Managementsamenvatting voor risk- en engineeringbetrokkenen
  • Hertestaanbevelingen waar dat past

Uitgebreide voorbeelden staan in de opleveringssectie hierboven.

Plan een gesprek

Vanaf €2.500 excl. btwPrijsindicatie