Over ons

Wie zijn wij

Joel Aviad Ossi's phoyo
Joel Aviad Ossi

Senior Pentester. Vijf jaar werkervaring in informatiebeveiliging.

Founder & Pentester

Polina Voronina's phoyo
Polina Voronina

Afgestudeerd aan de Berlijn school van Economie en Rechten (HWR) in "Internationale economie".

Consultant

Ameer Ashhab's phoyo
Ameer Ashhab

UI & Frontend Designer die zich richt op het ontwerpen van krachtige digitale applicaties.

Designer

Tarieven

si-fi like data drive Beveiligingsproject
  • tick sign Handmatige pentests
  • tick sign Uitgebreide rapporten
  • tick sign Resultaten presentatie
  • tick sign Website Seal
  • tick sign Conform PCI, NEN, ISO en BIO
Offerte Aanvragen
data drive stack Pentest Abonnement
Vanaf: € 1600 / maand
  • tick sign Handmatige pentests
  • tick sign Uitgebreide rapporten
  • tick sign Resultaten presentatie
  • tick sign Website Seal
  • tick sign Conform PCI, NEN, ISO en BIO
Offerte Aanvragen
question mark Overige Diensten
  • tick sign Red Teaming
  • tick sign Social engineering
  • tick sign Veiligheidsbewustzijnstraining
  • tick sign DigiD beveiligings-assessment
  • tick sign PCI beveiligings-assessment
Offerte Aanvragen

Model

Éénmalige Pentest
WebSec spreekt met de opdrachtgever een vaste prijs af voor een volledige pentest / security project. Bij de keuze voor dit model levert WebSec meer resultaten, gedetailleerde proof-of-concepts en komt met de opdrachtgever een vaste prijs overeen. Dit model kent geen verplichtingen en is voornamelijk bedoeld voor grote bedrijven zoals financiële instellingen die er zeker van moeten zijn dat elke functie is afgedekt en veilig is!

Voordelen:
- Genoeg tijd: alle pagina's en functies worden getest.
- Meer resultaten: meer testtijd is meer resultaten.

Nadelen:
- Dit model kan boven het budget van de gemiddelde startup uitkomen en is daarom niet voor iedereen geschikt.

Minimum contract periode: 1 Week
Minimum vereiste werktijd: 40 Uur

Éénmalige Pentest

Periodieke Pentests
WebSec zal een beperkt aantal uren per maand afspreken waardoor dit zelfs voor de kleinste bedrijven betaalbaar is met behoud van dezelfde kwaliteit en verwachtingen als verwacht van een volledige pentest. Naast pentesting diensten kan de opdrachtgever maandelijks overschakelen op andere diensten van WebSec voor een compleet all-in bescherming van uw organisatie.

Voordelen:
- Betaalbaar: dezelfde tarieven maar minder werkuren waardoor de prijzen lager vallen.
- Flexible: Client can switch between a pentest or other services each month.

Nadelen:
- Minimale contractperiode van één jaar.

Minimum contract periode: 1 jaar
Minimum vereiste werktijd: 16 Uur / pm

Éénmalige Pentest

No Cure No Pay
WebSec zal de klant alleen kosten in rekening brengen voor ontdekte kwetsbaarheden, de kosten zijn afhankelijk van de ernst en impact van de ontdekte kwetsbaarheden. Vraag een offerte aan voor meer informatie over de prijstabellen voor het No Cure no Pay model.

Voordelen:
- Klant betaalt alleen voor ontdekte kwetsbaarheden.

Disadvantages:
- Met dit model test WebSec alleen applicaties voor specifieke klanten die aan bepaalde voorwaarden voldoen, neem contact met ons op voor meer informatie.

Minimum contract periode: 1 Week
Minimum vereiste werktijd: 40 Uur

Éénmalige Pentest

Stappen

Intake

We zullen een communicatielijn met u opzetten om uw behoeften voorafgaand aan de test te bespreken, zoals de test scope, vereisten, vrijwaringsverklaring en contract.

WebSec document checkmarks
Plannen

We beginnen dan met plannen, tijdens het plannen kiezen wij samen een start- en einddatum en bepaald u de contactpersoon voor de pentest.

WebSec calender
Pentesten

Na de planning beginnen we onze security assessment op de afgesproken datum en tijden om te zien hoe goed uw huidige systemen bestand zijn tegen de hedendaagse cyber dreigingen. We houden de contactpersoon altijd op de hoogte van updates en melden het direct als zeer ernstige bevindingen gevonden worden.

WebSec Laptop malware
Documentatie

Na een uitgebreide pentest van uw systeem of website beginnen we met het schrijven van ons rapport. Wij schrijven twee rapporten, een technisch rapport en een executive rapport. Het rapport bevat alles wat er met uw systeem is gedaan, welke kwetsbaarheden er zijn gevonden en gedetailleerde uitleg over hoe die bevindingen kunnen worden opgelost en een executive summary.

WebSec document
Levering

We maken dan een afspraak met u om onze bevindingen te laten zien en stap voor stap op uit te leggen wat de bevindingen betekenen. Dit doen wij door niet al te technisch te praten waardoor het door iedereen te volgen is. Ook zullen wij duidelijk uitleggen hoe de bevindingen opgelost kunnen worden.

WebSec delivery

CVE Nummers

Defensie

10/01/2019

SOAP WSDL Parser SQL Code Execution.

CVE-2018-16803

Serpico

18/12/2019

Escalatie van privileges.

CVE-2019-19857

TopManage OLK

20/01/2020

Account Takeover Exploit.

CVE-2020-6844

LabVantage 8.3

17/02/2020

Information Disclosure Exploit.

CVE-2020-7959

AdminPanel

22/05/2020

SQL Injection en XSS

CVE-2020-13433

0-day [1]

xx/xx/2020

CVE is nog niet gepubliceerd.

CVE-2020-9002

0-day [2]

xx/xx/2020

CVE is nog niet gepubliceerd.

CVE-2020-9000

0-day [3]

xx/xx/2020

CVE is nog niet gepubliceerd.

CVE-2020-8999

Veelgestelde vragen

Wat is een pentest?

Pentest is een afkorting van ‘penetration testing’. Bij een pentest kruipen pentesters in de huid van een hacker. Ze proberen op allerlei manieren en met alle mogelijke middelen toegang te krijgen tot de geteste IT-omgeving. Op die manier leggen ze de zwakke plekken van je website, applicatie of zelfs gehele IT-infrastructuur bloot. Na afloop van een pentest kun je met gerichte maatregelen deze kwetsbaarheden zo goed mogelijk verhelpen.

Wanneer is een pentest nuttig?

Pentesten leveren inzichten op waarmee een organisatie de security kan versterken. Dat kan in allerlei gevallen nuttig zijn. Zo kan een pentest de zwakheden van een server of website in kaart brengen. In andere gevallen kan het ook waardevol zijn om het algehele securityniveau van de organisatie in kaart te brengen.

Hoe lang duurt een pentest?

De duur van een pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Sommige pentests zijn heel specifiek gericht op een bepaalde website of applicatie. Andere pentests zijn breder gericht, vaak zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit daarvan kan een pentest weken of zelfs maanden in beslag nemen.

Wat is het verschil tussen een pentest en een vulnerabilityscan?

Een vulnerabilityscan controleert IT-systemen op zwakheden via een geautomatiseerde process. Daardoor beperkt een vulnerabilityscan zich tot bekende beveiligingsfouten. Een vulnerabilityscan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken.

Een pentest gaat veel verder. Pentesters zoeken handmatig en geautomatiseerd op een zo breed mogelijke manier naar zwakheden in de IT-omgeving, afhankelijk van beschikbare tijd, budget en scope van de opdracht. Ze gebruiken daarbij creatieve aanvalstechnieken, methoden en tooling zoals een vulnerabilityscan.

Welke verschillende testmethoden zijn toepasbaar bij een pentest?

Er zijn grofweg drie testmethoden te onderscheiden. Er is geen ‘beste’ methode, iedere variant heeft zijn eigen specifieke voor- en nadelen. De keuze hangt dus geheel af van de omstandigheden.

1. Black box
Bij een black box-pentest krijgt de ethical hacker vooraf geen enkele informatie over de IT-infrastructuur. Wél wordt in veel gevallen een scope afgesproken om een volledig onderzoek te garanderen. De pentester simuleert hierbij als het ware de mindset van een opportunistische, niet-geïnformeerde hacker. Omdat de pentester geen voorinformatie heeft naast de scope, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. Black box-testing is nuttig wanneer je bijvoorbeeld voor de eerste keer een test uitvoert en een algemeen beeld wilt krijgen van het beveiligingsniveau.

2. Gray Box
Een grey-box-test houdt het midden tussen een black box- en een white box-test. De pentesters krijgen hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant-/medewerkersaccount.

Grey-box-testen zijn doorgaans minder grondig dan white-box-testen, maar hebben wel een realistisch uitgangspunt. De pentesters beschikken hiermee over ongeveer evenveel voorkennis als bijvoorbeeld een rancuneuze klant/medewerker of een goed geïnformeerde hacker. Grey-box-onderzoeken worden bijvoorbeeld vaak toegepast om te kijken hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.

3. White Box (ook wel: Crystal box)
Pentesters krijgen met een white box-pentest vooraf volledige openheid van zaken. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Het nadeel van deze methode is dat het veel tijd kost, omdat de gehele scope tot in detail onderzocht wordt. Deze methode wordt veelal toegepast op een beperkte scope, bijvoorbeeld een applicatie die zeer belangrijk (bedrijfskritisch) is voor de klant.

Mijn organisatie beschikt over vertrouwelijke data. Zijn die in goede handen bij een pentester?

Een security bedrijf met goede bedoelingen zal altijd van tevoren een NDA (Non Disclosure Agreement) tekenen. Dat is een geheimhoudingsverklaring. Aangetroffen data zijn dan in veilige handen, vaak op straffe van een fikse boete.

Hoe onderscheidt een pentest van WebSec zich van de concurrentie?

Een belangrijke onderscheidende factor is de manier waarop wij klanten begeleiden. Goed overleg loopt als een rode draad door het gehele traject. We bepalen vooraf duidelijk de scope, de aanpak en de doelstellingen van de pentest. Zo maximaliseren we de effectiviteit van de test.

Na afloop overleggen en presenteren we alle bevindingen. We geven een duidelijke rapport richting voor de management, en bespreken een technische rapport met de IT afdeling en/of programmeurs.

Contact

WebSec B.V. Map