De aanpak van een webapplicatie beveiligingstest bestaat uit een aantal fases:
- Informatievergaring
- DNS onderzoek
- SSL/TLS configuratie
- Beveiligingstest
- Rapportage
- Heronderzoek
Informatievergaring
Als eerst wordt er informatie vergaart over de webapplicatie. Hierbij wordt er naast het gebruik van verschillende tooling ook gebruik gemaakt van search engines. Hierdoor wordt er informatie over de werking van de webapplciatie verkregen. Hierbij kan er gedacht worden aan het achterhalen van de gebruikte ontwikkeltalen en mogelijk gebruikte frameworks en mogelijk misconfiguraties hierin. Ook wordt gekeken of de gebruikte software is bijgewerkt met de laatste beveiligingsupdates.
DNS onderzoek
Vervolgens wordt de configuratie van de DNS servers gecontroleerd op mogelijk aanwezige beveiligingsrisico’s. Deze servers zorgen voor de vertaling van de url naar het ip adres van de server en zijn dus verantwoordelijk voor de bereikbaarheid van de webapplicatie. Hierbij wordt onder andere gecontroleerd op de ondersteuning van versleutelde protocollen en beschikbaarheid/redundancy.
SSL/TLS configuratie
Vervolgens wordt de configuratie van de SSL/TLS configuratie gecontroleerd op mogelijk aanwezige beveiligingsrisico’s. Deze protocollen zorgen ervoor dat er een versleutelde verbinding opgezet wordt met de webserver via HTTPS. Hierbij wordt onder andere gecontroleerd op de gebruikte protocollen, ondersteunde versleutelingsalgoritmes en bekende kwetsbaarheden.
Webapplicatie beveiligingstest
Daarna wordt de webapplicatie zelf onderzocht op mogelijke kwetsbaarheden. Deze fase bestaat onder andere uit de volgende tests: Identiteits-management, Authenticatie, Authorisatie, Sessie management, Invoervalidatie, Foutmelding afhandeling, gebruikte versleuteling, applicatie logica en client side aanvallen. Hiermee worden alle mogelijke webapplicatie-kwetsbaarheden afgedekt.
Rapportage
Gevonden beveiligingsrisico’s worden gedocumenteerd en verder uitgewerkt in een rapportage. Deze bestaat onder andere uit een managementsamenvatting, beoordeling van het algehele beveiligingsniveau en de gevonden kwetsbaarheden. De gevonden kwetsbaarheden bevatten naast een beschrijving en aanbeveling een CVSS score, gebruikte tooling voor reproduceerbaarheid en bewijsvoering. Verder bevat de rapportage een checklist zodat duidelijk is welke testen zijn uitgevoerd. Indien wenselijk kan het rapport door middel van een presentatie worden toegelicht.
Heronderzoek
Wanneer beveiligingsrisico’s zijn aangetroffen tijdens een beveiligingsonderzoek kan een heronderzoek de genomen mitigerende maatregelen testen. Hierbij wordt het initiele onderzoek uitgebreid met de nieuwste bevindingen. Daarna wordt er een herbeoordeling gedaan van het algehele beveiligingsniveau aan de hand van de resultaten.
Interesse?
Klik hier om contact op te nemen!