Een selectie van recente opdrachten. Namen zijn geanonimiseerd waar dat is afgesproken. De resultaten zijn echt.
Een orderplatform met 12.000 dagelijkse gebruikers vroeg om een web-app pentest. Scope: de klantportal, het backend-dashboard en de bijbehorende REST API.
Tijdsframe: twee weken. Methodiek: blackbox, later grey-box na initiële bevindingen.
Binnen zes uur na de start: een kritieke IDOR (Insecure Direct Object Reference) op het orderbeheer-endpoint. Door het aanpassen van één integer in de URL konden we de orders van willekeurige andere klanten inzien én wijzigen — inclusief factuurgegevens en afleveradressen.
Een tweede kritieke bevinding: een SQL-injectie in het zoekendpoint van het klantenportaal. Niet direct zichtbaar bij geautomatiseerd scannen — gevonden via handmatige fuzzing van de zoekopdracht-parameters.
Totaal: 2 kritiek, 4 hoog, 9 medium, 3 laag.
Beide kritieke bevindingen waren binnen een week gepatcht. Hertest bevestigde dat alle 15 bevindingen zijn opgelost. Het platform is sindsdien overgestapt op een retainer-abonnement.
Een middelgrote zorginstelling wilde hun verouderde patiëntportaal volledig herbouwen. Vereisten: DigiD-integratie, SSO voor medewerkers, end-to-end encryptie voor berichten en NEN 7510-compliance bij lancering.
Tijdsframe: 14 weken van kick-off tot go-live. Stack: Next.js frontend, Laravel backend, PostgreSQL, Azure-hosting.
Security werd in de ontwerpfase al meegenomen via threat modelling. Elke sprint sloot af met een interne security review van de nieuwe functionaliteit. DigiD-integratie werd getest in de pre-productieomgeving van Logius.
Twee weken voor lancering: een volledige pentest van het systeem. Gevonden: nul kritieke, twee hoge bevindingen — beide opgelost vóór go-live.
Het portaal ging live zonder open kritieke of hoge bevindingen. SSL Labs-score: A+. De NEN 7510-audit werd doorstaan. Het portaal verwerkt inmiddels meer dan 800 patiëntberichten per dag.
Een fintech scale-up wilde weten hoe ver een gerichte aanvaller kon komen. Doelstelling: toegang verkrijgen tot het interne beheerderspaneel of klantfinanciële data. Scope: alles wat een externe aanvaller ook zou proberen — digitaal, fysiek en sociaal.
Dag 1: via LinkedIn werd een medewerker van de financiële afdeling geïdentificeerd. Op basis van publiek beschikbare informatie werd een geloofwaardige spear-phishingmail samengesteld, ogenschijnlijk afkomstig van een accountant van een bestaande zakenrelatie.
Dag 1, 14 uur later: de medewerker klikte op de link en vulde haar credentials in op een nagebootste interne loginpagina. Met die credentials was toegang tot het intern dashboard mogelijk — inclusief admin-rechten via een privilege-escalatie in de rollenlogica.
Dag 2: drie separate aanvalspaden gedocumenteerd. Het board-rapport leidde direct tot een verdubbeling van het security-budget en een traject voor security awareness.
Het bedrijf verdubbelde hun security-budget na het boardrapport en heeft sindsdien security awareness-training ingevoerd voor alle medewerkers. Twee van de drie aanvalspaden zijn inmiddels afgesloten.
Een direct-to-consumer kledingmerk liep vast op hun Magento-platform: trage laadtijden, oplopende fraudeverliezen en een development-team dat meer tijd kwijt was aan patches dan aan features. Ze wilden overstappen naar een moderne stack met ingebouwde bot-protection.
Migratie naar een headless stack: Next.js frontend, een custom Node.js commerce-API en Stripe als betalingsprovider. Bot-protection via Cloudflare en een custom fraud-detectielaag op basis van bestelpatronen.
Security ingebakken, niet achteraf geplakt: rate limiting op alle API-endpoints, sterke CSP-headers, server-side sessies en automatische dependency-scanning in de CI/CD-pipeline.
De migratie werd gefaseerd uitgevoerd — eerst productpagina's, dan checkout — zodat de webshop tijdens het traject gewoon online bleef.
34% hogere conversie door snellere laadtijden (LCP van 4.2s naar 1.1s). Fraudeverliezen daalden met 60% in de eerste drie maanden. Lighthouse-score: 92.