Website Security Audit

Dienst

Met onze website security check controleren we de beveiliging van uw website, webshop of SAAS-oplossing door alle kwetsbaarheden te onderzoeken.

De inhoud

De website security check bestaat uit handmatige en geautomatiseerde controles op diverse soorten kwetsbaarheden. Denk aan het gebruik van zwakke wachtwoorden, SQL-injecties, cross-site scripting, toegang tot databases en verborgen bestanden.

Ondersteuning

We bieden de website security check voor alle webtechnieken. Denk aan PHP, JavaScript en .NET. Ook kunnen we u helpen als uw website of webshop draait op open-source platforms zoals WordPress, Drupal of Magento.

Uiteraard bieden deze open-source platforms vaak ook al een bepaald niveau bescherming en uw hosting provider treft ook de nodige maatregelen. Echter, de veiligheidsmaatregelen die zij treffen zijn vaak algemeen van aard. Wij kijken naast de algemene beveiligingsinstellingen ook naar alle specifieke elementen.

Daarmee bedoelen we dat op zo’n open source platform veel verschillende websites draaien. De een heeft een webshop, een ander een blog, weer een ander een nieuwssite of een website met een login-portaal, etc. Iedere soort website heeft andere kwetsbaarheden en die worden door onze Website Security Check allemaal in kaart gebracht.

Periodieke scan

We raden aan om de website security check periodiek te laten uitvoeren. De techniek staat niet stil en ook hackers vinden steeds nieuwe manieren om uw website te hacken. Eenmalig ‘groen licht’ wil niet zeggen dat de website in de toekomst altijd veilig is. Er wordt nieuwe informatie aan uw website toegevoegd, 3rd-party applicaties (plug-ins en integraties met andere software) worden bijgewerkt en protocollen veranderen. Deze veranderingen kunnen leiden tot verhoogde risico’s en maken een periodieke website security check belangrijk.

Website Security Check voor web development bureaus

We voeren website security check niet alleen uit voor eindklanten met een enkele website, we bieden deze dienst ook aan voor internetbureaus, partners en web development bureaus die websites voor klanten ontwikkelen, hosten en beheren.

Proces

Het beveiligen van een website bestaat uit een relatief overzichtelijk proces. Dit zijn de stappen: 

Stap 1. Opstellen eisen

Tijdens de inventarisatie bepalen we samen met de opdrachtgever de scope van het onderzoek.

Stap 2. Geautomatiseerde scan

We beginnen met een geautomatiseerde scan. Tijdens de scan worden alle standaard beveiligingsinstellingen gecontroleerd. Dit brengt de kwetsbaarheden in kaart en vaak komen hier de eerste quick wins naar voren.

Onder de quick wins vallen bijvoorbeeld de Security Headers. Dit zijn korte stukjes code die de browser van de websitebezoeker opdrachten geeft. Hiermee kan bijvoorbeeld worden voorkomen dat formulieren met een kwaadaardige code worden geïnjecteerd, dat de website in een extern iFrame kan worden ingeladen, enz.

Stap 3. Handmatige check

Na de geautomatiseerde scan kijken we naar website-specifieke beveiligingsinstellingen. We onderzoeken de zwaktes in de beveiliging en onderzoeken hoe de website gehackt kan worden op basis van OWASP top 10. We documenteren alle bevindingen en geven aan welke instellingen aangepast moeten worden om de beveiliging te optimaliseren.

Stap 4. Rapportage

Nadat alle gegevens zijn nagelopen schrijven wij een rapport met onze bevindingen.

Mogelijke vervolgstappen

Als alle aanbevelingen uit stap 1 en 2 zijn doorgevoerd is de website zeer effectief beveiligd en zijn de risico’s op een hack nihil. Toch is het in veel gevallen raadzaam om aanvullende maatregelen te nemen, met name als het gaat om awareness onder het personeel dat toegang heeft tot (het CMS van) de website.

Offerte aanvragen

Nu aanvragen