Frequently
Asked
Questions

Security scans

Penetratietesten

Hoe werkt jullie security scan?

Is jullie scan een pentest?

Wij voeren een Web Application Scan (WAS) uit met het programma QualysGuard. Dit is geen pentest. Een pentest wordt deels handmatig uitgevoerd en is vele malen uitgebreider. De scans worden wel handmatig voorbereid en ingesteld en na de scan voeren wij ook nog een handmatige controle uit voordat wij het rapport versturen.

Hoe werkt de security scan?

Onze scanner zoekt naar bekende kwetsbaarheden (waaronder de OWASP Top10) door diverse codes in formulieren en op pagina’s in te vullen. Deze codes kunnen acties veroorzaken waarmee hackers gegevens zouden kunnen manipuleren of stelen. Onze scanner voert deze acties niet uit, maar rapporteert deze wel als fout. Wij testen overigens alleen de software van de webapplicatie en alleen de door u opgegeven URL, met eventueel bijbehorende subdomeinen.

Veroorzaakt jullie scanner veel overbelasting?

De scanner veroorzaakt wel meer belasting dan met normaal verkeer, maar dat merkt men meestal alleen bij gebruik van een shared of te krap bemeten server. De scan kan maximaal 25 uur draaien waarbij de belasting tijdens de scan kan variëren.

Om alles goed te kunnen monitoren kunt u altijd een specifieke datum/starttijd aan ons doorgeven. Als er dan toch performance problemen worden geconstateerd, kunnen we de scan direct stoppen of mogen jullie onze IP adressen altijd blokkeren. Wij horen dat dan wel graag.

Voorbereidingen

Hoe bereiden jullie de scan voor?

Om de scan zo effectief en snel mogelijk te laten verlopen en de overlast te beperken is een goede voorbereiding van de scan belangrijk. Hiervoor gaan wij na het versturen van de vooraankondiging aan de slag om de website in kaart te brengen en het geautomatiseerd inloggen te testen (indien er een account gedeelte aanwezig is). Dit kan al wat extra traffic op uw website of mailverkeer veroorzaken. De echte scan zal echter pas plaatsvinden in de afgesproken week (of op de afgesproken dag).

Welke voorbereidingen moet ik treffen?

Om de scan goed te laten verlopen, moeten de volgende zaken geregeld zijn:

  • Om te voorkomen dat onze scanner wordt geblokkeerd, moet onze gehele IP-range 64.39.102.0/24 (64.39.102.1-64.39.102.254) 2001:1478:1100:4000::/64 gewhitelist worden. Onze scanner gebruikt een willekeurig IP-adres uit deze range. Onze user agent is te herkennen aan het woord “ForusP”.
  • Heeft u pagina’s achter een login met een reCaptcha op het inlogformulier, dan moet deze voor de duur van de scan (max. 25 uur) uitgeschakeld worden of u kunt de IP-adressen van onze scanner whitelisten. Alle andere reCaptchas kunnen ingeschakeld blijven. Het is uiterst belangrijk dat onze scanner toegang heeft tot dit deel van de site, vooral wanneer er persoonlijke gegevens worden opgeslagen.
  • Veel mails en/of bestellingen van ons email account veiligheidsscan@forus-p.nl betekent dat uw website dit zonder beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! Een reCaptcha op alle formulieren of een redirect/blacklisting op uw mailserver kan dit voorkomen.
  • Controleer voor de zekerheid uw back-up procedure voordat we de scan uitvoeren.
Mag ik een specifieke scandatum en/of starttijd doorgeven?

Dat mag, we kunnen de scan 24/7 starten.

Mag ik een tijdslimiet doorgeven?

Nee dat kan niet. Onze scanner heeft maximaal 25 uur de tijd nodig om een website te doorlopen. Met een tijdslimiet bestaat de kans dat mogelijke kwetsbaarheden niet gevonden worden. Wij kunnen dan geen goede scan garanderen.

Kan de scan uitgevoerd worden op een testomgeving?

Omdat een scan op de testomgeving vaak problemen geeft, heeft het altijd onze voorkeur om op de live omgeving te scannen.

Voor Thuiswinkel leden scannen wij alleen op live omgevingen. Indien dit niet mogelijk is, kunt u contact opnemen met Thuiswinkel.

Kunnen jullie de login achterwege laten?

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om het login gedeelte mee te nemen, omdat het vaak voorkomt dat juist achter de login fouten worden gevonden die hackers kunnen misbruiken.

Kunnen jullie een subdomein achterwege laten?

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om ook subdomeinen mee te nemen, helemaal als er direct een link op uw website daar naartoe gaat. Ook hier kunnen kwetsbaarheden gevonden vonden.

Ik heb meerdere identieke sites op dezelfde server; moeten die allemaal gescand worden?

Sites zijn vaak alleen identiek als er een taalmodule aan te pas komt. Als het om een kopie van de site gaat, kunnen er altijd nog verschillen zijn, bijv. door het gebruik van verschillende plugins. Ook kan er een verschil ontstaan tussen updates die gedaan zijn op één site maar niet op de ander. Gevonden kwetsbaarheden dienen dan ook op alle sites opgelost te worden.

Waarom moet de Captcha op de inlogpagina uitgezet worden?

Onze scanner moet geautomatiseerd in kunnen loggen op uw website. Hiermee kunnen wij ook alles achter de inlog scannen op kwetsbaarheden. Dit is belangrijk aangezien hier meestal persoonsgegevens opgeslagen worden. De Captchas op formulieren mogen aan blijven, maar op de inlogpagina van het account dus niet. U kunt de Captcha gedurende de scan uitzetten (maximaal 25 uur) of u kunt de IP-adressen van onze scanner voor de Captcha whitelisten (64.39.102.0/24 (64.39.102.1-64.39.102.254) 2001:1478:1100:4000::/64).

Waarom wordt onze firewall (een belangrijk onderdeel op vlak van security) volledig gebypassed

Een firewall ziet de scan vaak als een bot en zal ons blokkeren. Een hacker kan kwetsbaarheden vaak misbruiken door handmatig te hacken. Daarbij kan een firewall soms wel iets aan beveiliging bieden, maar vaak zitten de issues in zaken waar een firewall niet ingrijpt.

Het whitelisten van onze IP-range kan overigens ook tijdelijk, voor een periode van maximaal 25 uur wanneer de scan draait. U kunt hiervoor een datum/ starttijd aan ons doorgeven via support@forus-p.com.

Wij controleren zelf regelmatig de veiligheid van de website; is jullie scan dan nodig?

U mag ook een eigen scan rapport overhandigen, zoals een Pentest rapport, met vermelding van de scandatum, wie dit heeft uitgevoerd, en dat er geen high risk kwetsbaarheden werden geconstateerd. Het gebeurt echter vaak genoeg dat wij toch high risk fouten ontdekken nadat een Pentest is uitgevoerd.

Tijdens de scan

Hoe lang duurt een scan?

De scan kan maximaal 25 uur draaien, afhankelijk van de grootte van uw website.

Kan de website gewoon operationeel blijven tijdens het uitvoeren van de scan?

Ja, dat kan. De scanner veroorzaakt wel meer belasting dan met normaal verkeer, maar dat merkt men meestal alleen bij gebruik van een shared of te krap bemeten server.

Plaatst jullie scanner ook orders?

We plaatsen wel orders, maar alleen als daarvoor niet direct betaald hoeft te worden. Rembours, acceptgiro en dergelijke gebeuren automatisch, andere zaken niet. Dat komt omdat je voor andere betalingen naar een ander domein gestuurd wordt (ideal.nl, visa.com) en bij rembours niet. U kunt deze onterechte, vaak grote bestelling herkennen aan het dummy account veiligheidsscan met e-mailadres “veiligheidsscan@forus-p.nl”.

Wordt tijdens de scan persoonlijke gegevens opgevraagd, verzameld of opgeslagen?

Nee, uitgebreide informatie hierover vindt u op onze website: https://forus-p.com/privacybeleid/.

Technisch

Welke IP-adressen gebruikt de scanner?

De scanner gebruikt een willekeurig IP adres uit de volgende range: 64.39.102.0/24 (64.39.102.1-64.39.102.254) 2001:1478:1100:4000::/64.

Welke user-agents sturen jullie standaard mee?

Onze user agent is te herkennen aan het woord “ForusP”.

Wat is de geschatte Peak Traffic value (in RPS) tijdens het scannen?

Normaalgesproken voeren wij de security scans uit waarbij er 4 http verzoeken per seconde door onze scanner worden verstuurd met een pauze van 400 milliseconden per verzoek. Bij een te krap bemeten shared server kan dit eventueel verlaagd worden.

Wat is de Peak Bandwidth value (in Gbps) tijdens het scannen?

De geschatte Peak Bandwidth value wordt niet door onze leverancier Qualys in cijfers aangeven. Zij geven aan ’Scan performance is optimized for medium bandwidth use’.

Na uitvoer van scan

Wat doe ik als de uitslag van de scan onveilig is?

Wij vragen u in ieder geval de high risks zo snel mogelijk op te lossen. Hoewel hackers de rest niet negeren. Na het oplossen van de problemen, adviseren we altijd uw wijzigingen te controleren met een herscan. Bent u lid van Thuiswinkel en/of BeCommerce, dan is dit zelfs verplicht. U kunt hiervoor een mail sturen naar support@forus-p.com.

Moet ik alle kwetsbaarheden oplossen?

High risk kwetsbaarheden dienen altijd zo snel mogelijk opgelost te worden. Voor de Thuiswinkel en BeCommerce certificering is dit zelfs verplicht.

Waarom heb ik zo veel mails/bestellingen gekregen en hoe kan ik dit voorkomen?

Tijdens de scan zal de scanner proberen alle formulieren op de site in te vullen en ook orders te plaatsen. Hierdoor kan er soms extreem veel mailverkeer ontstaan. Dit komt doordat uw website dit zonder enige beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! 

Om deze zogenoemde “mail bombs” te voorkomen, kunt u voor de scan al een aantal maatregelen nemen.

  • Alle mails/bestellingen die afkomstig zijn van het e-mailadres “veiligheidsscan@forus-p.nl” mogen direct verwijderd of geblokkeerd worden op de mailserver. U kunt dit mailadres dus bijvoorbeeld blacklisten.
  • Wij adviseren om op alle formulieren op uw website een beveiliging toe te passen. Een Captcha is hiervoor een veelgebruikte oplossing.
Ik heb het rapport; mag ik het wachtwoord ontvangen?

U ontvangt een e-mail van qualys@qualys.net met een downloadlink naar uw beveiligde rapport. Om veiligheidsredenen sturen wij uw persoonlijke wachtwoord in een aparte mail. Wanneer u deze e-mail niet heeft ontvangen, controleer dan eerst uw spambox. Geen wachtwoord? Stuur dan een e-mail naar support@forus-p.com.

Mijn wachtwoord werkt niet. Waarom kan ik het rapport niet openen?

Om veiligheidsredenen zijn de rapporten maar 7 dagen te downloaden. U kunt via support@forus-p.com het rapport opnieuw aanvragen.

Mag ik het ForusP Secure logo op mijn website plaatsen?

Met een veilige website mag u ons ForusP Secure logo op uw website plaatsen. Uw website moet wel minimaal één keer per maand door ons gescand worden en geconstateerde kwetsbaarheden moeten binnen 30 dagen opgelost zijn. Dit logo kan meer vertrouwen bij uw (potentiële) klanten wekken en een hogere conversie bewerkstelligen. Uitgebreide informatie vindt u op https://forus-p.com/veiligheid-seal/.

Hoe komt het dat er in deze scan kwetsbaarheden worden gevonden die niet de vorig scan zaten?

Als de vorige scan al even geleden was, kan gebeuren dat er uit een nieuwe scan issues komen. Dit kan komen doordat er tussentijds wijzigingen hebben plaatsgevonden, bijvoorbeeld door een het updaten van een plugin. Ook worden door hackers continu nieuwe manieren ontwikkeld om websites aan te vallen. Deze nieuwe kwetsbaarheden worden regelmatig aan onze scanner toegevoegd.

Is een herscan nodig na het oplossen van kwetsbaarheden of kunnen wij het zelf checken?

De website moet inderdaad opnieuw gescand worden. Het is niet zo simpel dat een specifiek gedeelte eenvoudig gecheckt kan worden. Daarnaast kunnen er in de tussentijd weer nieuwe kwetsbaarheden naar voren zijn gekomen. Wanneer wij de scan niet opnieuw uitvoeren, kunnen we nooit een veilige uitslag afgeven.

Magento

Waarom wordt Magento v1.* als high risk gezien?

Forus-P beoordeelt Magento v1.* als high risk, omdat Magento versie 1.* sinds juni 2020 niet meer ondersteunt. Hierdoor kunnen gevaarlijke kwetsbaarheden in de website ontstaan.

Wat doe ik als mijn website op Magento v1.* draait?

Het is belangijk om zo snel mogelijk over te stappen naar Magento v2 of een ander platform. Om problemen te voorkomen is het in de tussentijd een absolute aanrader om alle patches van MageOne te installeren.

Als ik alle patches heb geïnstalleerd, ben ik toch veilig?

Een abonnement bij MageOne hebben en alle patches installeren die beschikbaar zijn voor Magento v1.* is een absolute aanrader. Hiermee kunnen veel problemen voorkomen worden. Wij kunnen alleen helaas niet geautomatiseerd controleren of alle patches wel goed geïnstalleerd zijn. Daarnaast kan het zijn dat er toch nog kwetsbaarheden aanwezig zijn waar geen patch voor beschikbaar is. Daarom is het belangijk zo snel mogelijk over te stappen naar Magento v2 of een ander platform.

Wij zijn ons er wel van bewust dat dat langere tijd in beslag kan nemen. Om veel handmatige controles te voorkomen, is besloten om alle Magento versie 1 installaties voor de Thuiswinkel en BeCommerce certificeringen als onveilig te zien, maar wel nog een jaar te gedogen.

Wat betekent ‘gedogen’ voor de Thuiswinkel en/of BeCommerce certificering?

‘Gedogen’ voor Thuiswinkel en BeCommerce leden betekent dat een website, die draait op Magento v1.*, als onveilig in ons systeem staat, maar tijdelijk goedgekeurd is voor de certificering. Dit geldt alleen tot de volgende scan. Wij zijn ons ervan bewust dat het overstappen naar Magento v2 of een ander platform langere tijd in beslag neemt. Hiermee geven we de gelegenheid dit te regelen. Uiteraard raden we wel aan dit zo snel mogelijk te doen. En in ieder geval alle beschikbare patches in de tussentijd te installeren.

Wat doe ik als de website op Magento v2 draait?

Het kan zijn dat de website nu draait op Magento v2. Of misschien is de website wel overgezet naar een ander platform. Wanneer dit ruim voor de scan van volgend jaar is afgerond, vraag dan gerust bij ons een herscan aan. Stuur hiervoor een mail naar support@forus-p.com.

Alle vragen

Wat is een penetratietest?

Voor onze penetratietest (ook wel pentest genoemd) voeren we geautomatiseerde Web Applicatie en Netwerk scans en uitgebreide handmatige tests uit. Een penetratietest (ook wel pentest genoemd) simuleert een cyberaanval om te bewijzen waar een hacker eventueel misbruik van systemen kan maken. Onze ethische hackers gaan handmatig en geautomatiseerd te werk zoals kwaadwillende hackers dit ook doen. 

Welke pentesten voeren jullie uit?

We kunnen een Vulnerability Pentest (volgens PTES), Infrastructure Pentest (intern en extern), WIFI- en LAN-toegangstest, API-test, App-eindpunt test, Phishing-test en Codereview/App-analyse uitvoeren. Samen bepalen we vooraf het doel zodat het maximale uit de test gehaald kan worden. 

Voor meer informatie en prijzen: https://forus-p.com/pentesten/

Wat is de Penetration Testing Execution Standard (PTES)?

De Penetration Testing Execution Standard (PTES) is een uitgebreid raamwerk van richtlijnen, procedures en technieken voor het uitvoeren van penetratietesten. Deze standaardmethodiek is ontwikkeld om tegemoet te komen aan de behoefte aan een consistente en gestructureerde benadering van pentesten, met als doel betrouwbare resultaten te produceren.

De PTES-standaard bestaat uit zeven fasen, waaronder planning en scope, informatieverzameling, threat modeling, identificatie van kwetsbaarheden, exploitatie, post-exploitatie en rapportage, hieronder verder uitgelegd.

  1. Planning en scope – De voorbereidingsfase van de pentest.
  2. Informatieverzameling – In deze fase wordt informatie over het doelsysteem verzameld.
  3. Threat modeling – Dit is een procedure voor het optimaliseren van de beveiliging van applicaties, systemen of bedrijfsprocessen door doelstellingen en kwetsbaarheden te identificeren en vervolgens tegenmaatregelen te definiëren om de gevolgen van bedreigingen voor het systeem te voorkomen of te verminderen.
  4. Kwetsbaarheidsanalyse – In deze fase worden kwetsbaarheden ontdekt en gevalideerd.
  5. Exploitatie – In deze fase proberen ze de eerder geïdentificeerde en gevalideerde kwetsbaarheden uit te buiten.
  6. Post-exploitatie – Deze fase behoudt de controle over het doelsysteem en verzamelt gegevens.
  7. Rapportage – Een gedetailleerde analyse van de technische risico’s van een organisatie die vele facetten van de beveiligingsstatus van een organisatie omvat, zoals kwetsbaarheden, hoge – lage aandachtspunten en voorgestelde oplossingen.

INTERESSE OF ADVIES NODIG?

Meer informatie of offerte ontvangen? Vul het formulier in en wij nemen op werkdagen binnen 24 uur contact op.

Wij gebruiken persoonsgegevens alleen voor het doel waarvoor ze zijn achtergelaten. Lees ons privacybeleid voor meer informatie.

* Verplicht