Handmatige pentests volgens OWASP en PTES — geen scanner die een PDF uitspuugt, maar écht werk met werkende proof-of-concepts en een rapport dat je dev-team direct kan gebruiken.
Van webapplicaties tot cloud-infrastructuur — we testen wat er daadwerkelijk op het spel staat.
Volledige black-, grey- en whitebox tests van je webapplicatie. Authenticatie, autorisatie, sessies, business logic, input validatie — niets wordt overgeslagen.
API-specifieke kwetsbaarheden zoals BOLA/IDOR, broken authentication, mass assignment en ontbrekende rate limiting. Inclusief geautomatiseerde fuzzing.
iOS en Android — lokale datastores, certificate pinning, communicatiebeveiliging en backend-koppelingen. Statisch én dynamisch.
Misconfiguraties in AWS, Azure en GCP. IAM-rechten, public buckets, open security groups, secrets in omgevingsvariabelen — inclusief geautomatiseerde en handmatige review.
Een realistische aanvalssimulatie gericht op specifieke doelstellingen — admin-toegang, klantdata of financiële systemen. Combinatie van digitale, fysieke en sociale technieken.
Gerichte phishingcampagnes om medewerkersbewustzijn en detectiecapaciteiten te meten. Met debriefing en concrete aanbevelingen voor security awareness.
Bewezen methodieken, aangevuld met eigen kennis en handmatig vakmanschap.
Vóór de start leggen we exact vast wat binnen en buiten scope valt, welke IP-ranges en domeinen we mogen testen, en welke acties zijn toegestaan. Alles zwart op wit.
Passieve en actieve verkenning van de doelomgeving. We bouwen een aanvalsoppervlak op voordat we actief gaan testen — net zoals een echte aanvaller dat doet.
De kern van ons werk. Geautomatiseerde scanners vangen hooguit 30% van de kwetsbaarheden — de rest vereist inzicht, creativiteit en domeinkennis. Elke bevinding wordt handmatig geverifieerd en geëxploiteerd.
Een rapport in het Nederlands met twee secties: technisch (voor je dev-team, met PoC-code en reproductie-stappen) en zakelijk (voor directie, met risicoduiding in begrijpelijke taal).
Na het fixen van bevindingen testen we alles opnieuw — kosteloos. Je rapport krijgt een bijgewerkte status per bevinding. Pas groen als het echt groen is.
Per bevinding: omschrijving, risicoclassificatie (CVSSv3), stap-voor-stap reproductie, impact-analyse en concrete aanbevelingen. Geen copy-paste uit tooling.
Elke kritieke en hoge bevinding wordt ondersteund met een werkende exploit — zodat je dev-team exact ziet wat mogelijk is, en twijfel over impact wordt weggenomen.
Een overzicht van alle bevindingen gesorteerd op risico (kritiek → laag), met geschatte fix-tijd per item. Direct bruikbaar als sprint-backlog.
Na het oplossen testen we alle bevindingen opnieuw. Het rapport wordt bijgewerkt met de nieuwe status. Je hebt een actueel compliance-document.