Wat zijn de voordelen van handmatig testen?

Bij een pentest voeren wij zowel handmatige als geautomatiseerde testen uit. Naast het gebruik van gerenommeerde security tooling ter ondersteuning van het onderzoek, leggen onze onderzoekers de focus op handmatige testmethoden. Dit is omdat geautomatiseerde scans inherent veel limitaties hebben. Zo kan een automatische scan de gevonden resultaten vaak niet interpreteren, waar een security expert dit wel kan. Andere beperkingen van automatische scans zijn onder andere:

  1. Verschillen tussen webapplicaties: een automatische scan is vaak in staat veel kwetsbaarheden te vinden in populaire producten zoals Drupal, WordPress, Magento, etc. Niet omdat zij minder veilig zijn, maar omdat elke kwetsbaarheid een hoge impact zal hebben, simpelweg door het grote aantal mensen die deze producten gebruiken. Op maat gemaakte producten worden minder gebruikt, dus worden er minder scans gebouwd voor het vinden kwetsbaarheden in deze producten – Directe aanval om bijvoorbeeld uw klantdata of bedrijfsinformatie te stelen. Denk bijvoorbeeld aan Burgerservicenummers (BSN) voor identiteitsfraude, creditcardgegevens, inloggegevens en e-mailadressen.
  2. Syntax en semantiek: automatische scans kunnen perfect syntax (technische betekenis) begrijpen van elke kwetsbaarheid die wordt gevonden. Echter kunnen deze de semantiek (het belang) van elke kwetsbaarheid niet inschatten. Een voorbeeld: het is relatief ongevaarlijk als de besteldatum van een product veranderd kan worden in een winkelwagentje, maar het aanpassen van de prijs is een kwetsbaarheid die serieus aandacht verdient. Een automatische scan zal dit verschil niet herkennen.
  3. Improvisatie: het gebruik van custom communicatie onderdelen tussen website en server duidt er vaak op dat er een kans is op een mogelijk beveiligingslek. Automatische scan tools zijn niet in staat om te improviseren en gebruik te maken van deze aanduidingen om te onderzoeken of er daadwerkelijk een beveiligingslek is. Ook kunnen zij niet beveiligingsmaatregelen omzeilen die, bijvoorbeeld, in de eerste plaats erop gericht zijn om de scan tools zelf tegen te houden en niet zozeer om de kwetsbaarheid zelf aan te pakken.
  4. Intuïtie: een automatische scan past meestal alle mogelijke aanvallen toe op de onderdelen van een webapplicatie. Dit is een zogenaamde ‘brute-force’ manier van scannen. Echter, sommige aanvallen behoeven intuïtie, waarmee de tester inziet dat bepaalde manieren van aanvallen niet zullen werken. Bijvoorbeeld aanvallen waar een specifieke input gegenereerd moet worden op een specifieke manier, of waar inputs in een specifieke volgorde aan de webapplicatie moeten worden gegeven.