Ethical Hacking
Gaande van grondige manuele Pentesting tot Red Teaming
Hackers zijn creatief en zijn hun slachtoffers vaak een stap voor. Je kan onze ethische hackers inschakelen om je netwerkinfrastructuur en systemen te inspecteren en te pentesten. Met hun bevindingen helpen ze je om je digitale omgeving veiliger te maken.
Dedicated Hackertijd
- Intake call voor tijdsinschatting
- Je unieke project voor een vaste prijs
Gedocumenteerde Kwetsbaarheden
- Lijst van alle kwetsbaarheden
- Geclassificeerd op kriticiteit
Uitgebreide Rapportage
- Volledig rapport met alle details
- Met executive summary
Duidelijke Aanbevelingen
- Oplossingsgericht advies
- Onafhankelijk en onbevooroordeeld
Score Veiligheid Bedrijf
- Hoe je scoort tegenover hackers
- Gebaseerd op kriticiteit van fouten
Gepersonaliseerde Debriefing
- Uitgelegd in mensentaal
- We blijven stand-by na de test
Wat kan je kiezen?
BLACKBOX TEST
- Pentester heeft geen voorkennis
- Complete test van buitenaf
TIMEBOX TEST
- Pentester op basis van tijd
- We dringen zo ver mogelijk door
GREYBOX TEST
- Partiële informatie pentester
- Combinatietest extern en intern
BUDGETBOX TEST
- Pentester op basis van budget
- We dringen zo ver mogelijk door
WHITEBOX TEST
- Volledige voorkennis pentester
- Complete test van binnenuit
RED TEAMING TEST
- Alle mogelijke hacking en social engineering technieken
- We werken met vooraf gedefinieerde doelstellingen
Mogelijke Pentest Doelwitten
Web Applicaties
Websites, e-shops, portalen of CRM-systemen zijn een toegangspoort van het internet naar gevoelige gegevens. Wij identificeren alle kwetsbaarheden en adviseren over te nemen maatregelen.
Mobiele Applicaties
Mobiele apps verwerken gevoelige data die op diverse manieren gekoppeld zijn aan andere (web)diensten en systemen. We testen alle mogelijke koppelingen van iOS, Android en Windows apps met of zonder de bijbehorende webapplicatie.
WiFi
Hackers kunnen gemakkelijk inbreken via WiFi. Het signaal wordt dan buiten opgepikt door criminelen, zodat ze op afstand en rustig kunnen hacken zonder dat ze worden opgemerkt.
Compliance Audits
Een pentest is vaak een verplicht onderdeel van een ISO 27001- of GDPR-certificeringsproces. Wij controleren grondig of je aan alle eisen voldoet.
Software Defined Radio
Steeds meer communicatie tussen onze systemen verloopt draadloos. Software Defined Radio (SDR) heeft de risico's enorm vergroot. We brengen alles in kaart (denk aan IoT).
ICS-SCADA
Industriële besturingssystemen en SCADA zijn verbonden met internet en bedrijfsnetwerken, maar zijn niet optimaal beveiligd. Wij controleren dit grondig.
Cloud Security
Je bedrijf werkt in de cloud. Maar zijn de links naar je eigen omgeving wel veilig? Misschien creëren ze onvoorziene beveiligingslekken?
Bedrijfsnetwerk
Wij controleren of hackers je interne netwerk kunnen binnendringen en ook of kwaadwillende medewerkers of bezoekers gegevens van binnenuit kunnen misbruiken.
Andere Hacking Oplossingen
Red Teaming
We voeren realistische cyberaanvallen uit, met de nieuwste hacktechnieken, om je beveiliging te testen. Het is een complete cyberbrandoefening op het personeel en het bedrijfsnetwerk. Zodat je voorbereid bent op een echte aanval.
Check-ups
Door telewerken en migraties naar de cloud kan personeel flexibel werken vanuit verschillende locaties. Daarbij is weinig rekening gehouden met veiligheidsrisico's. De check-ups detecteren alle beveiligingslekken in je cloud omgeving.
Mystery Guest
Hoe ver komt een onaangekondigde bezoeker fysiek in je bedrijf? Wij komen incognito ter plaatse, testen het uit en leveren een uitgebreid rapport.
Forensisch Onderzoek
Als je het slachtoffer bent van een cyberinbraak of ransomware, sporen we het hackpad op om de malware te vinden, zodat je de veiligheid van je netwerk kunt herstellen.
Hack-proof Tools
We hebben online back-ups, een cyberverzekering, de meest efficiënte anti-ransomwarescanner en een veiligheidsscore om de digitale voetafdruk van je eigen bedrijf en je leveranciers te controleren.
Cyber Threat Hunting
Door middel van proactieve en diepgaande forensische analyse kunnen we controleren of je gehackt bent en of er systemen zijn die informatie lekken.
Kriticiteit en vooraf gedefinieerde bugs
Lage urgentie (K4)
Medium urgentie (K3)
Hoge urgentie (K2)
Zeer kritisch (K1)
- Server Security Misconfiguratie - Misconfiguratie DNS (zone overdracht)
- Server Security Misconfiguratie - Mailserver misconfiguratie (e-mail spoof naar Inbox als gevolg van miss/misconfiguratie DMARC op email)
- Server Security Misconfiguratie - Database Management Systeem Misconfiguratie (DBMS) (overdreven geprivilegieerde gebruiker / DBA)
- Server Security Misconfiguratie - Gebrek aan wachtwoordbevestiging (account verwijderen)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (registratie)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (aanmelding)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (e-mail-trigging)
- Server Security Misconfiguratie - Geen tariefbeperking op formulier (SMS-trigging)
- Server Security Misconfiguratie - Ontbrekende veilige of HTTP only cookie flag (sessie token)
- Server Security Misconfiguratie - Clickjacking (gevoelige actie)
- Server Security Misconfiguratie - Captcha bypass (implementatie kwetsbaarheid)
- Server Security Misconfiguratie - Gebrek aan security headers (cache-control voor een gevoelige pagina)
- Server Security Misconfiguratie - Web Application Firewall (WAF) bypass (directe server toegang)
- Server-Side Injectie - Spoofing inhoud (externe authenticatie Injectie)
- Server-Side Injectie - Spoofing inhoud (e-mail HTML injectie)
- Gebroken Authenticatie en Session Management - Cleartext transmissie van sessie token
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (andere plaintext protocol zonder beveiligd alternatief)
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (LAN only)
- Gebroken Authenticatie en Sessiebeheer - Zwakke login functie (HTTP en HTTPS beschikbaar)
- Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (uitloggen op client en server)
- Gebroken Authenticatie en Sessiebeheer - Fout of ongeldige sessie (op paswoord reset/verandering)
- Gebroken Authenticatie en Sessiebeheer - Zwakke registratie-implementatie (over HTTP)
- Gevoelige gegevens exposure - EXIF geolocatiegegevens niet gestript van geüploade afbeeldingen (handmatige user enumeratie)
- Gevoelige gegevens exposure - Zichtbare gedetailleerde fout/Debug pagina (gedetailleerde serverconfiguratie)
- Gevoelige gegevens exposure - Token lekkage via referer (onbetrouwbare 3e partij)
- Gevoelige gegevens exposure - Token lekkage via referer (over HTTP)
- Gevoelige gegevens exposure - Gevoelige token in URL (user facing)
- Gevoelige gegevens exposure - Zwakke paswoord reset Implementatie (paswoord reset token verzonden over HTTP)
- Cross-Site Scripting (XSS) - Opgeslagen (geprivilegieerde gebruiker tot geen geprivilegieerde elevatie)
- Cross-Site Scripting (XSS) - Flash-Based
- Cross-Site Scripting (XSS) - IE only (IE11)
- Cross-Site Scripting (XSS) - Referer
- Cross-Site Scripting (XSS) - Universeel (UXSS)
- Cross-Site Scripting (XSS) - Off-Domain (Data URL)
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (Extern)
- Gebroken toegangscontrole (BAC) - Gebruikersnaam/E-mail enumeratie (non-brute force)
- Ongevalideerde Redirects en Forwards - Open redirect (GET-Based)
- Onvoldoende Beveiligingsconfiguratie - Geen paswoordbeleid
- Onvoldoende Beveiligingsconfiguratie - Zwak paswoord reset Implementatie (token is niet ongeldig na gebruik)
- Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim kan niet worden geroteerd)
- Onvoldoende Beveiligingsconfiguratie - Zwakke 2FA Implementatie (2FA geheim blijft beschikbaar nadat 2FA is ingeschakeld)
- Gebruik van componenten met bekende kwetsbaarheden - Rosetta Flash
- Onveilige gegevensopslag - Gevoelige applicatiegegevens die ongecodeerd zijn opgeslagen (op externe opslag)
- Onveilige gegevensopslag - Server-Side credentials opslag (plaintext)
- Onveilig datatransport - Executable download (geen veilige integriteitscontrole)
- Privacy Zorgen - Onnodige gegevensverzameling (WiFi SSID+paswoord)
- Automotive Security Misconfiguratie - Infotainment (broncode dump)
- Automotive Security Misconfiguratie - Infotainment (Denial of Service (DoS / Brick)
- Automotive Security Misconfiguratie - Infotainment (default credentials)
- Automotive Security Misconfiguratie - RF Hub (onbevoegde toegang / aanzetten)
- Automotive Security Misconfiguratie - CAN (injectie (verboden berichten))
- Automotive Security Misconfiguratie - CAN (injectie (DoS))
- Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
- Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
- Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
- Server-Side Injectie - Content spoofing (iframe Injectie)
- Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
- Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
- Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
- Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
- Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
- Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
- Cross-Site Scripting (XSS) - Reflected Non-Self
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
- Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
- Client-Side Injectie - Binary planting (standaard map privilege escalatie)
- Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
- Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
- Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)
- Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
- Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
- Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
- Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
- Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
- Cross-Site Request Forgery (CSRF) - Applicatie-breed
- Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
- Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
- Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
- Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)
- Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
- Server-Side Injectie - Bestandsinjectie Lokaal
- Server-Side Injectie - Code-uitvoering op afstand (RCE)
- Server-Side Injectie - SQL Injectie
- Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
- Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
- Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
- Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
- Onveilig OS/Firmware - Commando-injectie
- Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
- Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
- Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
- Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)
Alle testen worden uitgevoerd op een zeer grondige en professionele manier volgens de CVSS standaard.