← Terug naar diensten // Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

€175 /uur CCV gecertificeerd

Onze CCV gecertificeerde pentesters voeren grondige beveiligingstests uit op uw applicaties, netwerken en infrastructuur. Wij identificeren kwetsbaarheden voordat kwaadwillenden dat doen. Beschikbaar in blackbox, greybox en whitebox varianten.

Wat is een pentest?

Een penetratietest - kortweg pentest - is een gecontroleerde aanval op uw IT-omgeving. Wij breken in, documenteren hoe, en laten zien wat een echte aanvaller had kunnen doen. Geen theoretische risicomatrix, maar bewezen aanvalspaden met proof-of-concept.

Het verschil met een vulnerability scan? Een scanner draait Nessus of Qualys, levert een PDF met CVE's en noemt het klaar. Wij gaan verder. Onze pentesters combineren tools als Burp Suite, BloodHound en Nuclei met handmatig onderzoek en jarenlange aanvalservaring. Wij vinden de business-logicafouten, chained exploits en configuratieproblemen die scanners structureel missen.

Zolder is een CCV Keurmerk Pentesten gecertificeerd pentestbedrijf. Dat keurmerk garandeert competentie, onafhankelijkheid en rapportagekwaliteit. Voor organisaties onder NIS2 of ISO 27001 is dit vaak een vereiste.

Typen pentests

Wij bieden drie varianten:

  • Blackbox: wij weten niets vooraf en werken als een externe aanvaller.
  • Greybox: wij krijgen beperkte informatie - een account, wat architectuurdocumentatie - en simuleren een insider-dreiging.
  • Whitebox: volledige toegang tot broncode en configuratie. Het meest grondig, en ons advies als u het maximale uit de test wilt halen.
Welk type past, bespreken we in het scopingsgesprek. Daar zit u direct aan tafel met de pentester die de test gaat uitvoeren - niet met een accountmanager.

Waarom een pentest laten uitvoeren?

Nederlandse organisaties zijn een actief doelwit. Ransomware in de maakindustrie, credential-stuffing op SaaS-platforms, supply chain-aanvallen via leveranciers - wij zien het dagelijks in ons werk. Een pentest geeft u:

  • Bewezen aanvalspaden: geen theoretische lijstjes, maar concrete exploits met screenshots en commando's.
  • Compliance: NIS2, BIO, ISO 27001 en PCI-DSS vereisen periodieke pentests.
  • Vertrouwen: steeds meer klanten en partners eisen een pentestrapport bij aanbestedingen.
  • Eerlijk beeld: wij blazen bevindingen niet op om de opdracht groter te maken. Als iets veilig is, staat dat in het rapport.

Onze aanpak

Korte lijnen, directe actie. Dat is hoe wij werken.

  • Scoping & threat modelling - u spreekt direct met de pentester. Samen bepalen we scope, doelstellingen en spelregels. Wat zijn uw kroonjuwelen?
  • Reconnaissance - OSINT, port scanning, service fingerprinting, subdomain enumeration.
  • Kwetsbaarheidsanalyse & exploitatie - systematisch testen, gevolgd door gecontroleerde exploitatie. Wij tonen de werkelijke impact aan.
  • Post-exploitatie - lateral movement, privilege escalation, persistence. Hoe ver komt een aanvaller?
  • Rapportage - helder rapport met managementsamenvatting, technische details inclusief reproduceerstappen, en concrete aanbevelingen. Geen consultancy-jargon.
  • Hertest - na uw fixes kunnen wij verifiëren of de kwetsbaarheden daadwerkelijk zijn verholpen.
Tijdens de test delen wij kritieke bevindingen direct met u - niet pas drie weken later in een rapport. U krijgt een Slack-channel of Signal-groep met de onderzoeker. Dat is wat wij bedoelen met korte lijnen.

Wat kost een pentest?

Ons uurtarief is €175 per uur (excl. BTW). De totale kosten hangen af van scope, type test en complexiteit:

  • Scope: een webapplicatie versus een complete infrastructuur met honderden hosts.
  • Type test: blackbox vergt meer reconnaissance-uren dan whitebox.
  • Complexiteit: maatwerkapplicaties, custom protocollen of legacy-systemen kosten meer tijd.
  • Compliance-eisen: OWASP ASVS of PTES kunnen extra testcases vereisen.
Een gemiddelde webapplicatie-pentest komt neer op €5.000 - €15.000. Infrastructuurtests liggen hoger. Wij stellen altijd een vaste offerte op na een gratis scopingsgesprek - geen verrassingen achteraf.

Methodologie

1

Scoping

Bepalen van de scope, doelstellingen en regels van de test.

2

Reconnaissance

Actief en passief verzamelen van informatie over het doelsysteem.

3

Exploitatie

Actief testen en exploiteren van kwetsbaarheden.

4

Rapportage

Gedetailleerd rapport met bevindingen en aanbevelingen per prioriteit.

5

Hertest

Verificatie dat gevonden kwetsbaarheden succesvol zijn opgelost.

Veelgestelde vragen

Hoe lang duurt een pentest?

Een webapplicatie-pentest duurt 1-3 weken doorlooptijd. Een infrastructuurtest 2-4 weken. De daadwerkelijke testuren liggen daar tussenin. Wij plannen altijd in overleg zodat het uw operatie zo min mogelijk verstoort. Tijdens de test kunt u direct contact opnemen met de pentester als u vragen heeft.

Wat is het verschil tussen een vulnerability scan en een pentest?

Een vulnerability scan is geautomatiseerd en rapporteert bekende CVE's. Een pentest gaat veel verder: wij exploiteren kwetsbaarheden daadwerkelijk, combineren zwakheden tot aanvalsketens en testen handmatig op business-logicafouten. Wij vinden wat Nessus en Qualys missen.

Welke standaarden volgt Zolder bij pentests?

Wij zijn CCV Keurmerk Pentesten gecertificeerd en werken conform PTES, OWASP Testing Guide en OWASP ASVS. Afhankelijk van uw branche kunnen we ook PCI-DSS of BIO-specifieke testcases uitvoeren. Welke standaard het beste past, bespreken we tijdens het scopingsgesprek.

Kan een pentest mijn systemen verstoren?

Wij werken gecontroleerd en in overleg. Risicovolle tests voeren wij alleen uit na expliciete toestemming. In de praktijk veroorzaken onze pentests zelden verstoring. Mocht er toch iets misgaan, dan is de pentester direct bereikbaar - geen ticketsysteem, maar een belletje.

Hoe vaak moet je een pentest laten uitvoeren?

Minimaal jaarlijks, en na significante wijzigingen in uw applicatie of infrastructuur. Veel compliance-frameworks (ISO 27001, NIS2, PCI-DSS) vereisen periodieke tests. Na de pentest bespreken wij wat voor uw situatie verstandig is - wij adviseren niet onnodig vaak.

Gerelateerde diensten

// Offensive

Web Applicatie & API Pentest

OWASP, businesslogica, auth-bypass - van login tot back-end

 // Offensive

Infrastructuur Pentest

Intern en extern netwerk - van perimeter tot domain admin

 // Offensive

Active Directory Pentest

Kerberoasting, delegation abuse en privilege escalation in AD

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op