← Terug naar diensten // Research

Security Research

Applied research - van businesslogica tot betalingsflows

Wij voeren gericht security research uit voor organisaties. Kan iemand gratis producten bestellen? Is uw betaalflow te manipuleren? Wij onderzoeken hoe uw systemen misbruikt kunnen worden en adviseren over concrete oplossingen. Daarnaast analyseren wij methoden van cybercriminelen en delen deze kennis via publicaties en presentaties.

Wat is security research?

Security research is gericht onderzoek naar een specifieke beveiligingsvraag. Waar een pentest een breed onderzoek is tegen bekende categorieën, is research dieper en specifieker. Kan iemand gratis bestellen in uw webshop? Is uw betaalflow te manipuleren? Hoe misbruiken criminelen uw platform? Wij onderzoeken het.

Onze onderzoekers combineren diepgaande technische expertise met creatief aanvallersdenken. Wij vinden kwetsbaarheden die geen scanner of standaard-pentest onthult - omdat ze niet in een checklist passen. Race conditions in bestelprocessen, logica-fouten in kortingssystemen, privilege escalation via onbedoelde feature-interacties, fraude-scenario's in betaalprocessen. Dit is waar wij van houden.

Wanneer is security research relevant?

  • Complexe business logic: betaalflows, bestelprocessen, loyalty-programma's, pricing engines.
  • Platform-misbruik: hoe kunnen kwaadwillenden uw platform misbruiken? Nep-accounts, fraude, scraping?
  • Responsible disclosure: u heeft een melding ontvangen en wilt de impact begrijpen.
  • Incident-analyse: na een incident begrijpen hoe het precies is gebeurd.
  • Publicatie: security research voor thought leadership of responsible disclosure.

Waarom security research laten uitvoeren?

De kwetsbaarheden die het meeste schade veroorzaken zijn zelden de voor de hand liggende:

  • Business-impact: wij focussen op wat uw organisatie werkelijk raakt. Niet theoretisch, maar aanvalspaden met directe financiële of operationele impact.
  • Buiten de checklist: standaard pentests volgen frameworks. Research gaat verder - wij onderzoeken scenario's die niet in een framework staan.
  • Kennisdeling: wij delen bevindingen niet alleen met u, maar - in overleg - ook met de community via blogposts, conferentiepresentaties en responsible disclosure. Wij doen dit omdat we het belangrijk vinden, niet omdat het goed verkoopt.

Onze aanpak

Research is per definitie maatwerk. De aanpak hangt af van de vraag:

  • Onderzoeksvraag formuleren - wat willen we weten? Welke scenario's zijn het meest relevant? Direct gesprek met de onderzoeker die het werk gaat doen.
  • Diepgaand onderzoek - broncode-analyse, reverse engineering, protocolanalyse, traffic-analyse en creatief denken. Wij nemen de tijd om echt te begrijpen hoe iets werkt - en hoe het te breken is.
  • Proof of concept - werkend bewijs dat de impact demonstreert. Niet theoretisch, maar aantoonbaar.
  • Responsible disclosure - als het onderzoek kwetsbaarheden in producten van derden onthult, volgen wij responsible disclosure. Dat is een kwestie van ethiek.
  • Rapportage & kennisdeling - gedetailleerd rapport met PoC, impact-analyse en aanbevelingen. In overleg publicatie via blog of conferentie.

Wat kost security research?

Uurtarief €175 per uur. Indicaties:

  • Gericht onderzoek (enkele vraag): €5.000 - €15.000
  • Uitgebreid onderzoek (breed platform of publicatie-gericht): €15.000 - €40.000
Scope en budget stemmen wij vooraf af. Wij rapporteren tussentijds over voortgang - geen verrassingen.

Veelgestelde vragen

Wat is het verschil tussen security research en een pentest?

Een pentest werkt bekende categorieën af (OWASP, PTES). Research is dieper en specifieker: wij onderzoeken een concrete vraag, vaak buiten frameworks, met meer tijd voor creatief denken en PoC-ontwikkeling. Het verschil: een pentest vindt wat er in de checklist staat. Research vindt wat er niet in staat.

Publiceren jullie onderzoeksresultaten?

Alleen in overleg met u en na responsible disclosure. Publicatie versterkt zowel uw reputatie als de security-community. U heeft altijd vetorecht. Wij publiceren regelmatig via ons blog en op conferenties.

Kunnen jullie ook reverse engineering uitvoeren?

Ja. Binaries, firmware, protocollen, applicaties - met Ghidra, IDA Pro, x64dbg en Frida. Reverse engineering is vaak een integraal onderdeel van ons research-werk.

Gerelateerde diensten

// Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

 // Offensive

AI Implementatie Pentest

Prompt injection, model manipulation en AI supply chain risico's

 // Research

Speaking

Presentaties op events en conferenties

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op