Ethical Hacking
Ethical hacking 'No cure = No pay'
Met onze formule "No cure = No pay" zijn we pioniers in de ethische hackingwereld en als bedrijf kan je alleen maar winnen! Als onze hackers geen fouten vinden, dan betaal je niets. Als ze wel fouten vinden, betaal je een vooraf bepaald tarief. (indien gewenst kan je nog steeds een traditionele black box of whitebox pen test laten doen)
100% TRANSPARANTIE
Je ontmoet de hacker van tevoren. Zo weet je altijd wie er hackt en wanneer.
Je weet ook altijd van tevoren hoeveel er in rekening wordt gebracht.
BUDGETVRIENDELIJK
Als er geen bugs of datalekken worden gevonden, kost de service niets.
Je kunt dus ook met lage budgetten werken aan top security.
SECURITY BOOST
Als onafhankelijke partij treden wij vaak op als controleorgaan voor onze klanten.
Zo kan je altijd je omgeving laten controleren.
Prijzen op basis van Kriticiteit en Vooraf gedefinieerde bugs
Lage urgentie (K4)
Medium urgentie (K3)
Hoge urgentie (K2)
Zeer kritisch (K1)
- Server Security Misconfiguratie - Misconfiguratie DNS (zone overdracht)
- Server Security Misconfiguratie - Mailserver misconfiguratie (e-mail spoof naar Inbox als gevolg van miss/misconfiguratie DMARC op email)
- Server Security Misconfiguratie - Database Management Systeem Misconfiguratie (DBMS) (overdreven geprivilegieerde gebruiker / DBA)
- Server Security Misconfiguratie - Gebrek aan wachtwoordbevestiging (account verwijderen)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (registratie)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (aanmelding)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (e-mail-trigging)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (SMS-trigging)
- Server Security Misconfiguratie - Ontbrekende veilige of HTTP only cookie flag (sessie token)
- Server Security Misconfiguratie - Clickjacking (gevoelige actie)
- Server Security Misconfiguratie - Captcha bypass (implementatie kwetsbaarheid)
- Server Security Misconfiguratie - Gebrek aan security headers (cache-control voor een gevoelige pagina)
- Server Security Misconfiguratie - Web Application Firewall (WAF) bypass (directe server toegang)
- Server-Side Injectie - Spoofing inhoud (externe authenticatie Injectie)
- Server-Side Injectie - Spoofing inhoud (e-mail HTML injectie)
- Gebroken Authenticatie en Session Management - Cleartext transmissie van sessie token
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (andere plaintext protocol zonder beveiligd alternatief)
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (LAN only)
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (HTTP en HTTPS beschikbaar)
- Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (uitloggen op client en server)
- Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (op paswoord reset/verandering)
- Gebroken Authenticatie en Sessiebeheer - Zwakke registratie-implementatie (over HTTP)
- Gevoelige gegevens exposure - EXIF geolocatiegegevens niet gestript van geüploade afbeeldingen (handmatige user enumeratie)
- Gevoelige gegevens exposure - Zichtbare gedetailleerde fout/Debug pagina (gedetailleerde serverconfiguratie)
- Gevoelige gegevens exposure - Token lekkage via referer (onbetrouwbare 3e partij)
- Gevoelige gegevens exposure - Token lekkage via referer (over HTTP)
- Gevoelige gegevens exposure - Gevoelige token in URL (user facing)
- Gevoelige gegevens exposure - Zwakke paswoord reset Implementatie (paswoord reset token verzonden over HTTP)
- Cross-Site Scripting (XSS) - Opgeslagen (geprivilegieerde gebruiker tot geen geprivilegieerde elevatie)
- Cross-Site Scripting (XSS) - Flash-Based
- Cross-Site Scripting (XSS) - IE only (IE11)
- Cross-Site Scripting (XSS) - Referer
- Cross-Site Scripting (XSS) - Universeel (UXSS)
- Cross-Site Scripting (XSS) - Off-Domain (Data URL)
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (Extern)
- Gebroken toegangscontrole (BAC) - Gebruikersnaam/E-mail enumeratie (non-brute force)
- Ongevalideerde Redirects en Forwards - Open redirect (GET-Based)
- Onvoldoende Beveiligingsconfiguratie - Geen paswoordbeleid
- Onvoldoende Beveiligingsconfiguratie - Zwak paswoord reset Implementatie (token is niet ongeldig na gebruik)
- Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim kan niet worden geroteerd)
- Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim blijft beschikbaar nadat 2FA is ingeschakeld)
- Gebruik van componenten met bekende kwetsbaarheden - Rosetta Flash
- Onveilige gegevensopslag - Gevoelige applicatiegegevens die ongecodeerd zijn opgeslagen (op externe opslag)
- Onveilige gegevensopslag - Server-Side credentials opslag (plaintext)
- Onveilig datatransport - Executable download (geen veilige integriteitscontrole)
- Privacy Zorgen - Onnodige gegevensverzameling (WiFi SSID+paswoord)
- Automotive Security Misconfiguratie - Infotainment (broncode dump)
- Automotive Security Misconfiguratie - Infotainment (Denial of Service (DoS / Brick)
- Automotive Security Misconfiguratie - Infotainment (default credentials)
- Automotive Security Misconfiguratie - RF Hub (onbevoegde toegang / aanzetten)
- Automotive Security Misconfiguratie - CAN (injectie (verboden berichten))
- Automotive Security Misconfiguratie - CAN (injectie (DoS))
- Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
- Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
- Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
- Server-Side Injectie - Content spoofing (iframe Injectie)
- Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
- Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
- Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
- Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
- Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
- Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
- Cross-Site Scripting (XSS) - Reflected Non-Self
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
- Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
- Client-Side Injectie - Binary planting (standaard map privilege escalatie)
- Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
- Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
- Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)
- Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
- Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
- Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
- Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
- Cross-Site Request Forgery (CSRF) - Applicatie-breed
- Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
- Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
- Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
- Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)
- Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
- Server-Side Injectie - Bestandsinjectie Lokaal
- Server-Side Injectie - Code-uitvoering op afstand (RCE)
- Server-Side Injectie - SQL Injectie
- Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
- Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
- Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
- Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
- Onveilig OS/Firmware - Commando-injectie
- Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
- Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
- Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
- Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)
Mogelijke Ethische Hacks
Bedrijfsnetwerk
Wij controleren of hackers je interne netwerk kunnen binnendringen en ook of kwaadwillende medewerkers of bezoekers gegevens van binnenuit kunnen misbruiken.
WiFi
Hackers kunnen gemakkelijk inbreken via WiFi. Het signaal wordt dan buiten opgepikt door criminelen, zodat ze op afstand en rustig kunnen hacken zonder dat ze worden opgemerkt.
Web Applicaties
Websites, e-shops, portalen of CRM-systemen zijn een toegangspoort van het internet naar gevoelige gegevens. Wij identificeren alle kwetsbaarheden en adviseren over te nemen maatregelen.
Software Defined Radio
Steeds meer communicatie tussen onze systemen verloopt draadloos. Software Defined Radio (SDR) heeft de risico's enorm vergroot. We brengen alles in kaart (denk aan IoT).
ICS-SCADA
Industriële besturingssystemen en SCADA zijn verbonden met internet en bedrijfsnetwerken, maar zijn niet optimaal beveiligd. Wij controleren dit grondig.
Cyber Threat Hunting
Door middel van proactieve en diepgaande forensische analyse kunnen we controleren of je gehackt bent en of er systemen zijn die informatie lekken.
Compliance Audits
Een pentest is vaak een verplicht onderdeel van een ISO 27001- of GDPR-certificeringsproces. Wij controleren grondig of je aan alle eisen voldoet.
Mobiele Applicaties
Mobiele apps verwerken gevoelige data en zijn op verschillende manieren gekoppeld aan andere (web)diensten. We testen alle mogelijke verbindingen van de apparaten en diensten.
Cloud Security
Je bedrijf werkt in de cloud. Maar zijn de links naar je eigen omgeving wel veilig? Misschien creëren ze onvoorziene beveiligingslekken?
Andere Hacking Oplossingen
Mystery Guest
Hoe ver komt een onaangekondigde bezoeker fysiek in je bedrijf? Wij komen incognito ter plaatse, testen het uit en leveren een uitgebreid rapport.
Forensisch Onderzoek
Als je het slachtoffer bent van een cyberinbraak of ransomware, sporen we het hackpad op om de malware te vinden, zodat je de veiligheid van je netwerk kunt herstellen.
Hack-proof Tools
We hebben online back-ups, een cyberverzekering, de meest efficiënte anti-ransomwarescanner en een veiligheidsscore om de digitale voetafdruk van je eigen bedrijf en je leveranciers te controleren.
Check-ups
Door telewerken en migraties naar de cloud kan je personeel flexibel werken vanuit verschillende locaties. Daarbij wordt vrijwel geen rekening gehouden met veiligheidsrisico's. De check-ups tonen direct alle beveiligingslekken in je cloud en Citrix Remote Teleworking omgeving.