Web Applicatie & API Pentest

Wat is een webapplicatie pentest?

Een webapplicatie pentest is een beveiligingsonderzoek waarbij wij uw webapplicatie aanvallen zoals een echte hacker dat zou doen. SQL-injectie, cross-site scripting, gebroken autorisatie, business-logicafouten - wij testen het allemaal. Niet om een lijstje te vullen, maar om aan te tonen wat er werkelijk mis kan gaan: kan een aanvaller data stelen, accounts overnemen of betalingen manipuleren?

Het verschil met een geautomatiseerde OWASP-scan? Tools als Burp Suite, Nuclei en ZAP vinden bekende patronen. Maar de kwetsbaarheden die wij het vaakst rapporteren - IDOR's in API-endpoints, race conditions in betaalflows, JWT-misbruik, OAuth-fouten - worden door scanners niet gevonden. Die vind je alleen met handmatig werk door iemand die begrijpt hoe webapplicaties in elkaar zitten. Van React-frontends en GraphQL-API's tot microservice-architecturen: onze pentesters kennen de stack.

OWASP Top 10 en verder

De OWASP Top 10 is ons startpunt, niet ons eindpunt. Wij testen op injection, broken access control, security misconfiguration, SSRF en alle andere categorieën. Maar de meest impactvolle kwetsbaarheden vallen vaak buiten deze lijst. Het zijn de fouten in uw specifieke businesslogica die het verschil maken - en die vindt geen enkel framework automatisch.

Waarom een webapplicatie pentest laten uitvoeren?

Uw webapplicatie staat direct bloot aan het internet. Het is het eerste wat een aanvaller ziet:

• Datalekken voorkomen: gebroken autorisatie leidt tot toegang tot klantgegevens, financiële data of medische dossiers.
• Reputatie beschermen: een gehackte webapplicatie schaadt het vertrouwen van klanten direct.
• Compliance: ISO 27001, NIS2, PCI-DSS en AVG/GDPR vereisen aantoonbaar veilige applicaties.
• Vroeg ontdekken is goedkoper: een kwetsbaarheid fixen in productie kost 10-100x meer dan tijdens ontwikkeling.

Wij adviseren om pentesting in te bedden in uw ontwikkelcyclus. Na elke grote release testen scheelt op termijn tijd en geld.

Onze aanpak

Onze webapplicatie pentests combineren methodisch handwerk met gerichte automatisering:

• Scoping - u spreekt direct met de pentester die de test uitvoert. Samen bepalen we welke onderdelen, rollen en functionaliteiten in scope zijn.
• Mapping & discovery - alle endpoints, parameters, API-calls en authenticatieflows in kaart brengen. Burp Suite Professional, maar ook veel handmatige verkenning.
• Authenticatie & autorisatie - inlogmechanismen (brute force, credential stuffing, MFA-bypass), sessiemanagement en RBAC. Kan een gewone gebruiker admin-acties uitvoeren? Kan klant A data van klant B inzien?
• Input handling - SQL, NoSQL, LDAP, OS command injection, XSS (reflected, stored, DOM-based), SSRF, XXE, template injection.
• Business logic - handmatig testen van workflows: kan een gebruiker stappen overslaan, prijzen manipuleren, acties herhalen die eenmalig zouden moeten zijn?
• Rapportage - managementsamenvatting, technische write-ups met reproduceerstappen, CVSS-scores en prioriteitsadvies. Wij bellen u bij kritieke bevindingen - die gaan niet eerst drie weken in een rapport liggen.
• Hertest - na uw fixes kunnen wij verifiëren of de kwetsbaarheden zijn opgelost.

Wat kost een webapplicatie pentest?

Ons uurtarief is €175 per uur. De totale investering hangt af van uw applicatie:

• Kleine applicatie (5-10 endpoints, 1-2 rollen): circa €3.500 - €7.000
• Middelgrote applicatie (20-50 endpoints, meerdere rollen, API): circa €7.000 - €15.000
• Grote/complexe applicatie (100+ endpoints, microservices, complexe business logic): €15.000+

Na een gratis scopingsgesprek ontvangt u een vaste offerte. Geen verrassingen.