Welke informatie dient aangeleverd te worden voor een pentest?

  1. Home
  2. Veelgestelde vragen
  3. Welke informatie dient aangeleverd te worden voor een pentest?

Specifieke applicatie informatie is nodig om de uitvoering van security testen goed te laten verlopen. Om een test goed voor te bereiden en te starten, is vooraf de volgende informatie benodigd per type test:

Black-box pentest

Bij de black-box test is niets (of maar een klein deel) van de omgeving en werking bekend bij de tester.

  • URLs van de acceptatie- en productieomgeving van de applicatie.

Grey-box pentest

De tester heeft enige voorkennis van de omgeving, gebruikersgegevens maar geen volledige administratieve of beheer bevoegdheden.

  • URLs van de acceptatie- en productieomgeving van de applicatie.
  • Testgebruiker(s) voor de applicatie: liefst één superuser, zodat de onderzoekers flexibel zijn in welke gebruikers ze aanmaken. Anders tenminste twee gebruikers per gebruikersrol.
    Als via de applicatie meerdere organisaties kunnen inloggen met elk hun eigen gebruikersbeheer en data, nog steeds het liefst één superuser die organisaties met beheeraccounts kan aanmaken. Als dat niet kan, beheeraccounts voor tenminste twee organisaties. Zo kan getest worden of organisatie A niet bij data van organisatie B kan.
  • Gebruikersdocumentatie/achtergrondinformatie met betrekking tot de webapplicatie en eventuele koppelingen en het maatwerk.

White-box pentest 

Ook wel: glass-box test of crystal-box test genoemd. De tester in kwestie bezit over voorkennis, gebruikerslogin en administratieve dan wel beheerrechten.

  • URLs van de acceptatie- en productieomgeving van de applicatie.
  • Testgebruiker(s) voor de applicatie: liefst één superuser, zodat de onderzoekers flexibel zijn in welke gebruikers ze aanmaken. Anders tenminste twee gebruikers per gebruikersrol.
    Als via de applicatie meerdere organisaties kunnen inloggen met elk hun eigen gebruikersbeheer en data, nog steeds het liefst één superuser die organisaties met beheeraccounts kan aanmaken. Als dat niet kan, beheeraccounts voor tenminste twee organisaties. Zo kan getest worden of organisatie A niet bij data van organisatie B kan.
  • Toegang tot de acceptatieomgeving met SSH (of anders met FTP), met minimaal lees- en schrijfrechten op alle bestanden van de webapplicatie (is niet verplicht, leidt wel tot de meest nauwkeurige resultaten en bevindingen).
  • Toegang tot de broncode van de applicatie.
  • Volledige documentatie.
  • API (indien deze in de scope valt): een Postman collectie met valide requests (overzicht van eindpunten), zie www.postman.com.