+31 (0) 85 0802716 secure@forus-p.com
Veelgestelde vragen

Wij hebben de meest voorkomende vragen over
onze security scans voor u op een rij gezet.

Staat uw vraag er niet bij, laat het ons dan gerust weten door ons contactformulier in te vullen.

Hoe werkt de scan?

De scanner veroorzaakt wel meer belasting dan met normaal verkeer, maar dat merkt men meestal alleen bij gebruik van een shared of te krap bemeten server. De scan kan maximaal 25 uur draaien waarbij de belasting tijdens de scan kan variëren.

Om alles goed te kunnen monitoren kunt u altijd een specifieke datum/starttijd aan ons doorgeven. Als er dan toch performance problemen worden geconstateerd, kunnen we de scan direct stoppen of mogen jullie onze IP adressen altijd blokkeren. Wij horen dat dan wel graag.

Wij voeren een Web Application Scan (WAS) uit met het programma QualysGuard. Dit is geen pentest. Een pentest wordt deels handmatig uitgevoerd en is vele malen uitgebreider. De scans worden wel handmatig voorbereid en ingesteld en na de scan voeren wij ook nog een handmatige controle uit voordat wij het rapport versturen.

Onze scanner zoekt naar bekende kwetsbaarheden (waaronder de OWASP Top10) door diverse codes in formulieren en op pagina’s in te vullen. Deze codes kunnen acties veroorzaken waarmee hackers gegevens zouden kunnen manipuleren of stelen. Onze scanner voert deze acties niet uit, maar rapporteert deze wel als fout. Wij testen overigens alleen de software van de webapplicatie en alleen de door u opgegeven URL, met eventueel bijbehorende subdomeinen.

Technisch

Onze user agent is te herkennen aan het woord “ForusP”.

De scanner gebruikt een willekeurig IP adres uit de volgende range: 64.39.96.0/20 (64.39.96.1-64.39.111.254).

De geschatte Peak Bandwidth value wordt niet door onze leverancier Qualys in cijfers aangeven. Zij geven aan ’Scan performance is optimized for medium bandwidth use’.

Normaalgesproken voeren wij de security scans uit waarbij er 4 http verzoeken per seconde door onze scanner worden verstuurd met een pauze van 400 milliseconden per verzoek. Bij een te krap bemeten shared server kan dit eventueel verlaagd worden.

Voorbereidingen

U mag ook een eigen scan rapport overhandigen, zoals een Pentest rapport, met vermelding van de scandatum, wie dit heeft uitgevoerd, en dat er geen high risk kwetsbaarheden werden geconstateerd. Het gebeurt echter vaak genoeg dat wij toch high risk fouten ontdekken nadat een Pentest is uitgevoerd.

Om de scan goed te laten verlopen, moeten de volgende zaken geregeld zijn:

  • Om te voorkomen dat onze scanner wordt geblokkeerd, moet onze gehele IP-range 64.39.96.0/20 (64.39.96.1-64.39.111.254) gewhitelist worden. Onze scanner gebruikt een willekeurig IP-adres uit deze range. Onze user agent is te herkennen aan het woord “ForusP”.
  • Heeft u pagina’s achter een login met een reCaptcha op het inlogformulier, dan moet deze voor de duur van de scan (max. 25 uur) uitgeschakeld worden of u kunt de IP-adressen van onze scanner whitelisten. Alle andere reCaptchas kunnen ingeschakeld blijven. Het is uiterst belangrijk dat onze scanner toegang heeft tot dit deel van de site, vooral wanneer er persoonlijke gegevens worden opgeslagen.
  • Veel mails en/of bestellingen van ons email account veiligheidsscan@forus-p.nl betekent dat uw website dit zonder beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! Een reCaptcha op alle formulieren of een redirect/blacklisting op uw mailserver kan dit voorkomen.
  • Controleer voor de zekerheid uw back-up procedure voordat we de scan uitvoeren.

Een firewall ziet de scan vaak als een bot en zal ons blokkeren. Een hacker kan kwetsbaarheden vaak misbruiken door handmatig te hacken. Daarbij kan een firewall soms wel iets aan beveiliging bieden, maar vaak zitten de issues in zaken waar een firewall niet ingrijpt.

Het whitelisten van onze IP-range kan overigens ook tijdelijk, voor een periode van maximaal 25 uur wanneer de scan draait. U kunt hiervoor een datum/ starttijd aan ons doorgeven via support@forus-p.com.

Onze scanner moet geautomatiseerd in kunnen loggen op uw website. Hiermee kunnen wij ook alles achter de inlog scannen op kwetsbaarheden. Dit is belangrijk aangezien hier meestal persoonsgegevens opgeslagen worden. De reCaptchas op formulieren mogen aan blijven, maar op de inlogpagina van het account dus niet. U kunt de reCaptcha gedurende de scan uitzetten (maximaal 25 uur) of u kunt de IP-adressen van onze scanner voor de reCaptcha whitelisten (64.39.96.0/20 (64.39.96.1-64.39.111.254)).

Nee dat kan niet. Onze scanner heeft maximaal 25 uur de tijd nodig om een website te doorlopen. Met een tijdslimiet bestaat de kans dat mogelijke kwetsbaarheden niet gevonden worden. Wij kunnen dan geen goede scan garanderen.

Dat mag, we kunnen de scan 24/7 starten.

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om ook subdomeinen mee te nemen, helemaal als er direct een link op uw website daar naartoe gaat. Ook hier kunnen kwetsbaarheden gevonden vonden.

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om het login gedeelte mee te nemen, omdat het vaak voorkomt dat juist achter de login fouten worden gevonden die hackers kunnen misbruiken.

Omdat een scan op de testomgeving vaak problemen geeft, heeft het altijd onze voorkeur om op de live omgeving te scannen.

Voor Thuiswinkel leden scannen wij alleen op live omgevingen. Indien dit niet mogelijk is, kunt u contact opnemen met Thuiswinkel.

Sites zijn vaak alleen identiek als er een taalmodule aan te pas komt. Als het om een kopie van de site gaat, kunnen er altijd nog verschillen zijn, bijv. door het gebruik van verschillende plugins. Ook kan er een verschil ontstaan tussen updates die gedaan zijn op één site maar niet op de ander. Gevonden kwetsbaarheden dienen dan ook op alle sites opgelost te worden.

Om de scan zo effectief en snel mogelijk te laten verlopen en de overlast te beperken is een goede voorbereiding van de scan belangrijk. Hiervoor gaan wij na het versturen van de vooraankondiging aan de slag om de website in kaart te brengen en het geautomatiseerd inloggen te testen (indien er een account gedeelte aanwezig is). Dit kan al wat extra traffic op uw website of mailverkeer veroorzaken. De echte scan zal echter pas plaatsvinden in de afgesproken week (of op de afgesproken dag).

Tijdens de scan

Nee, uitgebreide informatie hierover vindt u op onze website: https://forus-p.com/privacybeleid/.

We plaatsen wel orders, maar alleen als daarvoor niet direct betaald hoeft te worden. Rembours, acceptgiro en dergelijke gebeuren automatisch, andere zaken niet. Dat komt omdat je voor andere betalingen naar een ander domein gestuurd wordt (ideal.nl, visa.com) en bij rembours niet. U kunt deze onterechte, vaak grote bestelling herkennen aan het dummy account veiligheidsscan met e-mailadres “veiligheidsscan@forus-p.nl”.

Ja, dat kan. De scanner veroorzaakt wel meer belasting dan met normaal verkeer, maar dat merkt men meestal alleen bij gebruik van een shared of te krap bemeten server.

De scan kan maximaal 25 uur draaien, afhankelijk van de grootte van uw website.

Na uitvoer van scan

Wij vragen u in ieder geval de high risks zo snel mogelijk op te lossen. Hoewel hackers de rest niet negeren. Na het oplossen van de problemen, adviseren we tijd uw wijzigingen te controleren met een herscan. Bent u lid van Thuiswinkel en/of BeCommerce, dan is dit verplicht. U kunt hiervoor een mail sturen naar support@forus-p.com.

Tijdens de scan zal de scanner proberen alle formulieren op de site in te vullen en ook orders te plaatsen. Hierdoor kan er soms extreem veel mailverkeer ontstaan. Dit komt doordat uw website dit zonder enige beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! 

Om deze zogenoemde “mail bombs” te voorkomen, kunt u voor de scan al een aantal maatregelen nemen.

  • Alle mails/bestellingen die afkomstig zijn van het e-mailadres “veiligheidsscan@forus-p.nl” mogen direct verwijderd of geblokkeerd worden op de mailserver. U kunt dit mailadres dus bijvoorbeeld blacklisten.
  • Wij adviseren om op alle formulieren op uw website een beveiliging toe te passen. Een Google reCaptcha is hiervoor een veelgebruikte oplossing.

High risk kwetsbaarheden dienen altijd zo snel mogelijk opgelost te worden. Voor de Thuiswinkel en BeCommerce certificering is dit zelfs verplicht.

Om veiligheidsredenen zijn de rapporten maar 7 dagen te downloaden. U kunt via support@forus-p.com het rapport opnieuw aanvragen.

Met een veilige website mag u ons ForusP Secure logo op uw website plaatsen. Uw website moet wel minimaal één keer per maand door ons gescand worden en geconstateerde kwetsbaarheden moeten binnen 30 dagen opgelost zijn. Dit logo kan meer vertrouwen bij uw (potentiële) klanten wekken en een hogere conversie bewerkstelligen. Uitgebreide informatie vindt u op https://forus-p.com/veiligheid-seal/.

De website moet inderdaad opnieuw gescand worden. Het is niet zo simpel dat een specifiek gedeelte eenvoudig gecheckt kan worden. Daarnaast kunnen er in de tussentijd weer nieuwe kwetsbaarheden naar voren zijn gekomen. Wanneer wij de scan niet opnieuw uitvoeren, kunnen we nooit een veilige uitslag afgeven.

U ontvangt een e-mail van qualys@qualys.com met een downloadlink naar uw beveiligde rapport. Om veiligheidsredenen sturen wij uw persoonlijke wachtwoord in een aparte mail. Wanneer u deze e-mail niet heeft ontvangen, controleer dan eerst uw spambox. Geen wachtwoord? Stuur dan een e-mail naar support@forus-p.com.

Als de vorige scan al even geleden was, kan gebeuren dat er uit een nieuwe scan issues komen. Dit kan komen doordat er tussentijds wijzigingen hebben plaatsgevonden, bijvoorbeeld door een het updaten van een plugin. Ook worden door hackers continu nieuwe manieren ontwikkeld om websites aan te vallen. Deze nieuwe kwetsbaarheden worden regelmatig aan onze scanner toegevoegd.

Load More

Security nieuws in uw inbox!

Blijf op de hoogte van het laatste nieuws op het gebied van IT-security en ontvang één keer in de maand onze service bulletin.

You have Successfully Subscribed!