Real-world security scenario's

De uitdaging

Een groeiende webshop verwerkt dagelijks honderden betalingen. De eigenaar vermoedt problemen met de beveiliging van het betaalproces maar heeft geen idee waar te beginnen. Een datalek van klantbetalingen zou catastrofaal zijn voor het vertrouwen en de GDPR-naleving.

Onze aanpak

We voerden een web application pentest uit gericht op de checkout flow, betalingsintegraties en klantaccounts. We testten op business logic fouten, prijsmanipulatie, onveilige direct object references en CSRF-aanvallen.

Bevindingen

• ›Prijsmanipulatie mogelijk via parameter tampering
• ›Onvoldoende validatie van coupon codes
• ›Sessie tokens niet correct geïnvalideerd na logout
• ›Klantorders van andere gebruikers zichtbaar via IDOR

De uitdaging

Een boekhoudkantoor met 25 medewerkers heeft nooit actief nagedacht over cybersecurity. Na een incident bij een collega-kantoor besluiten ze actie te ondernemen voor het te laat is.

Onze aanpak

We voerden een intern netwerk assessment uit, gecombineerd met een phishing simulatie en een wachtwoordaudit. We testten ook de Microsoft 365-omgeving en remote access beveiliging.

Bevindingen

• ›73% van de medewerkers klikte op de phishing simulatie
• ›Meerdere accounts gebruikten varianten van 'Bedrijfsnaam2023'
• ›Geen MFA actief op kritieke systemen
• ›Twee voormalige medewerkers hadden nog actieve accounts

De uitdaging

Een SaaS-bedrijf lanceert een nieuw platform met een RESTful API. Ze willen vóór de publieke lancering zeker zijn dat de API veilig is. Een lek zou hun reputatie en enterprise klanten kosten.

Onze aanpak

Volledige API security test inclusief authenticatie flows, rate limiting, data exposure analyse en privilege escalation tests. We testten alle endpoints systematisch met handmatige en geautomatiseerde methoden.

Bevindingen

• ›API gaf gevoelige gebruikersdata terug in foutmeldingen
• ›Geen rate limiting op authenticatie-endpoints (bruteforce mogelijk)
• ›JWT tokens konden worden gemanipuleerd door zwakke signing key
• ›Admin endpoints niet adequaat afgeschermd via RBAC

De uitdaging

Een financieel adviesbedrijf ontvangt toenemend verdachte e-mails. Ze willen weten hoe goed hun medewerkers beschermd zijn en of hun e-mailinfrastructuur correct is geconfigureerd.

Onze aanpak

Meerfasige phishing campagne met verschillende scenario's: CEO-fraude, IT-helpdesk impersonatie en valse facturen. Gecombineerd met een e-mail security audit (SPF, DKIM, DMARC).

Bevindingen

• ›DMARC niet geconfigureerd — domein kon worden gespoofd
• ›62% van medewerkers opende de phishing mail
• ›28% vulde gegevens in op de nep-loginpagina
• ›Geen procedure voor het melden van verdachte mails

De uitdaging

Een scale-up heeft zijn infrastructuur volledig in AWS maar heeft nooit een security review laten uitvoeren. Bij een intern audit-moment vermoeden ze publiek toegankelijke S3-buckets.

Onze aanpak

Volledige AWS cloud security review op basis van CIS Benchmark. Analyse van IAM-rollen, S3-bucketpolicies, security groups, CloudTrail en GuardDuty configuratie.

Bevindingen

• ›3 S3-buckets publiek toegankelijk met klantdata
• ›Meerdere IAM-gebruikers met te brede rechten
• ›CloudTrail logging niet actief in alle regio's
• ›Secrets hardcoded in Lambda functies