Ethical Hacking

Ethical Hacking 'Klassieke stijl' of 'No cure No pay'

Wij bieden elke klant de meest geschikte formule. We kunnen de gedefinieerde scope pentesten op de traditionele manier tegen een vast tarief. Of we kunnen de scope top-down testen op alle mogelijke fouten waarbij je slechts betaalt voor wat we vinden. De keuze is aan jou. Hoe dan ook, beide manieren worden op een zeer grondige en professionele manier en volgens de CVSS-standaard uitgevoerd.

Klassieke Stijl

Met deze formule testen we op de traditionele manier of je IT-beveiliging voldoende is om hackers te weren. Tegen een vast tarief voeren onze pentesters een black box, grey box of white box uit. Je bent in goede handen. Al onze testers werken met een ethische code en ze zijn allemaal toonaangevend op het gebied van menselijk inzicht en creativiteit. Dat is cruciaal voor een goede test.

BLACKBOX TEST

De tester krijgt geen informatie vooraf, net zoals in het echt.

Dus kruipt hij in de huid van een echte hacker.

GREYBOX TEST

Sommige informatie wordt beschikbaar gesteld, zoals inlog gegevens.

Er wordt getest zoals een geïnformeerde hacker of malafide insider.

WHITEBOX TEST

In deze test wordt volledige inzage vooraf gegeven, zoals de broncode.

Met deze methode vinden we meer complexe en verborgen fouten.

No cure No pay (NCNP)

Met onze formule "No cure No pay" zijn we pioniers in de ethische hackingwereld en als klein of middelgroot bedrijf kan je alleen maar winnen! Als onze hackers geen fouten vinden, betaal je niets. Als ze wel fouten vinden, betaal je een vooraf bepaald tarief.

100% TRANSPARANTIE

Je ontmoet de hacker van tevoren. Zo weet je altijd wie er hackt en wanneer.

Je weet ook altijd van tevoren hoeveel er in rekening wordt gebracht.

BUDGETVRIENDELIJK

Als er geen bugs of datalekken worden gevonden, kost de service niets.

Je kan dus ook werken met lage budgetten voor de hoogste veiligheid.

PERSOONLIJKE DEBRIEF

Na de opdracht zal de ethische hacker de resultaten met je bespreken.

Bovendien zal hij je bedrijf een duidelijke cybersecurity score geven.

Prijzen NCNP op basis van Kriticiteit en Vooraf gedefinieerde bugs

Lage urgentie (K4)

Kriticiteit van 0 tot

€ 0,- per fout

Medium urgentie (K3)

Kriticiteit van 25 tot

€ 250,- per fout

Hoge urgentie (K2)

Kriticiteit van 50 tot

€ 750,- per fout

Zeer kritisch (K1)

Kriticiteit van 75 tot

€ 1250,- per fout

Kriticiteit 4 - Lage urgentie

Kriticiteit 3 - Medium urgentie

Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
Server-Side Injectie - Content spoofing (iframe Injectie)
Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
Cross-Site Scripting (XSS) - Reflected Non-Self
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
Client-Side Injectie - Binary planting (standaard map privilege escalatie)
Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)

Kriticiteit 2 - Hoge urgentie

Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
Cross-Site Request Forgery (CSRF) - Applicatie-breed
Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)

Kriticiteit 1 - Zeer kritisch

Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
Server-Side Injectie - Bestandsinjectie Lokaal
Server-Side Injectie - Code-uitvoering op afstand (RCE)
Server-Side Injectie - SQL Injectie
Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
Onveilig OS/Firmware - Commando-injectie
Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)

Mogelijke Ethische Hacks

Bedrijfsnetwerk

Wij controleren of hackers je interne netwerk kunnen binnendringen en ook of kwaadwillende medewerkers of bezoekers gegevens van binnenuit kunnen misbruiken.

WiFi

Hackers kunnen gemakkelijk inbreken via WiFi. Het signaal wordt dan buiten opgepikt door criminelen, zodat ze op afstand en rustig kunnen hacken zonder dat ze worden opgemerkt.

Web Applicaties

Websites, e-shops, portalen of CRM-systemen zijn een toegangspoort van het internet naar gevoelige gegevens. Wij identificeren alle kwetsbaarheden en adviseren over te nemen maatregelen.

Software Defined Radio

Steeds meer communicatie tussen onze systemen verloopt draadloos. Software Defined Radio (SDR) heeft de risico's enorm vergroot. We brengen alles in kaart (denk aan IoT).

ICS-SCADA

Industriële besturingssystemen en SCADA zijn verbonden met internet en bedrijfsnetwerken, maar zijn niet optimaal beveiligd. Wij controleren dit grondig.

Cyber Threat Hunting

Door middel van proactieve en diepgaande forensische analyse kunnen we controleren of je gehackt bent en of er systemen zijn die informatie lekken.

Compliance Audits

Een pentest is vaak een verplicht onderdeel van een ISO 27001- of GDPR-certificeringsproces. Wij controleren grondig of je aan alle eisen voldoet.

Mobiele Applicaties

Mobiele apps verwerken gevoelige data en zijn op verschillende manieren gekoppeld aan andere (web)diensten. We testen alle mogelijke verbindingen van de apparaten en diensten.

Cloud Security

Je bedrijf werkt in de cloud. Maar zijn de links naar je eigen omgeving wel veilig? Misschien creëren ze onvoorziene beveiligingslekken?

Andere Hacking Oplossingen

Mystery Guest

Hoe ver komt een onaangekondigde bezoeker fysiek in je bedrijf? Wij komen incognito ter plaatse, testen het uit en leveren een uitgebreid rapport.

Forensisch Onderzoek

Als je het slachtoffer bent van een cyberinbraak of ransomware, sporen we het hackpad op om de malware te vinden, zodat je de veiligheid van je netwerk kunt herstellen.

Hack-proof Tools

We hebben online back-ups, een cyberverzekering, de meest efficiënte anti-ransomwarescanner en een veiligheidsscore om de digitale voetafdruk van je eigen bedrijf en je leveranciers te controleren.

Check-ups

Door telewerken en migraties naar de cloud kan je personeel flexibel werken vanuit verschillende locaties. Daarbij wordt vrijwel geen rekening gehouden met veiligheidsrisico's. De check-ups tonen direct alle beveiligingslekken in je cloud en Citrix Remote Teleworking omgeving.

Ethical Hacking

Ethical Hacking 'Klassieke stijl' of 'No cure No pay'

Klassieke Stijl

BLACKBOX TEST

GREYBOX TEST

WHITEBOX TEST

No cure No pay (NCNP)

100% TRANSPARANTIE

BUDGETVRIENDELIJK

PERSOONLIJKE DEBRIEF

Prijzen NCNP op basis van Kriticiteit en Vooraf gedefinieerde bugs

Lage urgentie (K4)

Medium urgentie (K3)

Hoge urgentie (K2)

Zeer kritisch (K1)

Mogelijke Ethische Hacks

Bedrijfsnetwerk

WiFi

Web Applicaties

Software Defined Radio

ICS-SCADA

Cyber Threat Hunting

Compliance Audits

Mobiele Applicaties

Cloud Security

Andere Hacking Oplossingen

Mystery Guest

Forensisch Onderzoek

Hack-proof Tools

Check-ups

Mail naar info@sectricity.com of bel +32 9 298 05 85» Gratis Offerte «

Mail naar info@sectricity.com of bel +32 9 298 05 85
» Gratis Offerte «