Thuiswinkel Scans
Web Applicatie Scans
Developer Scans
Penetratie Testing
Security Review
Awareness Training
Ik ben gehacked
Thuiswinkel Scans
Web Applicatie Scans
Developer Scans
Penetratie Testen
Security Review
Awareness Training
Ik ben gehacked

Thuiswinkel Scans

Wordt tijdens de scan persoonlijke gegevens opgevraagd, verzameld of opgeslagen?

Nee, uitgebreide informatie hierover vindt u op onze website bij het privacybeleid.

Welke voorbereidingen moet ik treffen?

Om de scan goed te laten verlopen, moeten de volgende zaken geregeld zijn:

  • Om te voorkomen dat onze scanner wordt geblokkeerd, moet onze ip-adressen gewhitelist worden: 144.24.249.196 en 132.226.222.205 en 154.16.73.227. Onze user agent is te herkennen aan het woord “ForusP” voor het geval jullie een combinatie van IP-adres en user agent willen whitelisten.
  • Heeft u pagina’s achter een login met een Captcha op het inlogformulier, dan moet deze voor de duur van de scan (max. 25 uur) uitgeschakeld worden of je kunt de IP-adressen van onze scanner whitelisten. Alle andere Captchas moeten gewoon ingeschakeld blijven. Het is erg belangrijk dat onze scanner toegang heeft tot dit deel van de site, vooral wanneer er persoonlijke gegevens worden opgeslagen. Dit is een verplicht onderdeel van de scan.
  • Veel mails en/of bestellingen van ons email account veiligheidsscan@forus-p.nl betekent dat uw website dit zonder beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! Een Captcha op alle formulieren of een redirect/blacklisting op uw mailserver kan dit voorkomen.
Welke user-agents sturen jullie standaard mee?

Onze user agent is te herkennen aan het woord “ForusP”.

Welke IP-adressen gebruikt de scanner?

De scanner gebruikt een van deze IP adressen:
144.24.249.196
132.226.222.205
154.16.73.227

144.24.249.196

132.226.222.205

154.16.73.227

Wat is de geschatte Peak Traffic value (in RPS) tijdens de scan?

Normaalgesproken voeren wij de security scans uit waarbij er 4 http verzoeken per seconde door onze scanner worden verstuurd met een pauze van 400 milliseconden per verzoek. Bij een te krap bemeten shared server kan dit eventueel verlaagd worden.

Waarom wordt mijn website als onveilig aangemerkt met Magento V1?

Magento 1 heeft het einde van zijn officiële ondersteuning bereikt (end-of-life). Daarom markeren security scanners Magento 1 websites automatisch als een hoog risico op basis van de gebruikte platformversie.

Dit geldt ook voor websites die gebruikmaken van OpenMage of Mage-One. Hoewel deze oplossingen doorlopende ondersteuning en security updates bieden, zijn ze nog steeds gebaseerd op het Magento 1 platform en worden ze daarom door geautomatiseerde scans als risico aangemerkt.

Voor de Thuiswinkel-certificering vereisen Magento 1-, OpenMage- en Mage-One-websites een alternatieve beoordeling in plaats van de standaard geautomatiseerde scan. Neem contact op met Thuiswinkel voor de specifieke voorwaarden en eisen die voor jouw website gelden.

Waarom moet ik jullie whitelisten? Mijn website is toch veilig omdat mijn beveiliging jullie heeft geblokkeerd!

Om een uitgebreide security assessment uit te voeren, vragen we je om onze scanner te whitelisten. Beveiligingstools zoals firewalls, bot protection en web application firewalls (WAF’s) herkennen vulnerability scanners vaak als geautomatiseerd verkeer en kunnen onze verzoeken daarom blokkeren of beperken.

Een geblokkeerde scan betekent niet noodzakelijk dat je website veilig is. Het geeft alleen aan dat geautomatiseerde scanactiviteiten zijn tegengehouden. In veel gevallen kunnen kwetsbaarheden nog steeds handmatig worden ontdekt en misbruikt door een aanvaller, zelfs wanneer beveiligingsmaatregelen zoals firewalls aanwezig zijn.

Hoewel security controls een belangrijke verdedigingslaag vormen, mogen ze niet worden gezien als de enige bescherming van je website. Het is essentieel dat de applicatie zelf veilig is en geen exploiteerbare kwetsbaarheden bevat. Onze scanner is ontworpen om de beveiliging van de applicatie te beoordelen en zwakke plekken te identificeren die mogelijk door een aanvaller misbruikt kunnen worden.

Waarom moet de Captcha op de inlogpagina uitgezet worden?

Onze scanner moet geautomatiseerd in kunnen loggen op uw website. Hiermee kunnen wij ook alles achter de inlog scannen op kwetsbaarheden. Dit is belangrijk aangezien hier meestal persoonsgegevens opgeslagen worden. De Captchas op formulieren mogen aan blijven, maar op de inlogpagina van het account dus niet. U kunt de Captcha gedurende de scan uitzetten (maximaal 25 uur) of u kunt de IP-adressen van onze scanner voor de Captcha whitelisten (144.24.249.196 en 132.226.222.205 en 154.16.73.227).

Waarom heb ik zo veel mails/bestellingen gekregen en hoe kan ik dit voorkomen?

Tijdens de scan zal de scanner proberen alle formulieren op de site in te vullen en ook orders te plaatsen. Hierdoor kan er soms extreem veel mailverkeer ontstaan. Dit komt doordat uw website dit zonder enige beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook!

Om deze zogenoemde “mail bombs” te voorkomen, kunt u voor de scan al een aantal maatregelen nemen.

  • Alle mails/bestellingen die afkomstig zijn van het e-mailadres “veiligheidsscan@forus-p.nl” mogen direct verwijderd of geblokkeerd worden op de mailserver. U kunt dit mailadres dus bijvoorbeeld blacklisten.
  • Wij adviseren om op alle formulieren op uw website een beveiliging toe te passen. Een Captcha is hiervoor een veelgebruikte oplossing.
Mag ik de Forus-P Secure Badge op mijn website plaatsen?

Websites die uitsluitend worden gescand voor de Thuiswinkel-certificering komen niet in aanmerking voor ons Secure Badge. Ons secure logo kan het vertrouwen van (potentiële) klanten vergroten en bijdragen aan een hogere conversie.
Wij vinden één basis scan per jaar niet voldoende om een website goed beveiligd te houden. Neem gerust contact met ons op voor uitgebreidere scans of een hogere scanfrequentie.

Meer informatie vind je hier.

Kunnen jullie een subdomein uitsluiten?

Wij voeren de veiligheidsscan op uw gehele website uit. Het is belangrijk om ook subdomeinen mee te nemen, zeker als deze direct vanaf de hoofdwebsite bereikbaar zijn. Kwetsbaarheden kunnen namelijk net zo goed op subdomeinen aanwezig zijn.
Bezoekers van je website verwachten dat de volledige website veilig is en kunnen meestal geen onderscheid maken tussen verschillende platforms binnen hetzelfde domein.

Kunnen jullie de scan uitvoeren zonder klant inlog?

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om het login gedeelte mee te nemen, omdat het vaak voorkomt dat juist achter de login fouten worden gevonden die hackers kunnen misbruiken. Het is daarom een verplicht onderdeel van de Thuiswinkel scan.

Kan de scanner orders plaatsen?

De scanner kan eventueel orders plaatsen, maar alleen als daarvoor niet direct betaald hoeft te worden. Rembours, acceptgiro en dergelijke gebeuren automatisch, andere zaken niet. Dat komt omdat je voor andere betalingen naar een ander domein gestuurd wordt (ideal.nl, visa.com) en bij rembours niet. U kunt deze onterechte, vaak grote bestelling herkennen aan het dummy account veiligheidsscan met e-mailadres “veiligheidsscan@forus-p.nl”.

Kan de scan uitgevoerd worden op een testomgeving?

Voor Thuiswinkel leden scannen wij alleen op live omgevingen. Indien dit niet mogelijk is, kan er contact worden opgenomen met Thuiswinkel.

Is een herscan nodig na het oplossen van kwetsbaarheden of kunnen wij het zelf checken?

De website moet inderdaad opnieuw gescand worden. Het is niet zo simpel dat een specifiek gedeelte eenvoudig gecheckt kan worden. Daarnaast kunnen er in de tussentijd weer nieuwe kwetsbaarheden naar voren zijn gekomen. Wanneer wij de scan niet opnieuw uitvoeren, kunnen we nooit een veilige uitslag afgeven.

Hoe lang duurt een scan?

De scan kan maximaal 25 uur draaien, afhankelijk van de grootte van de website.

Hoe kan het dat er in deze scan kwetsbaarheden worden gevonden die niet in de vorig scan zaten?

Als de vorige scan al even geleden was, kan gebeuren dat er uit een nieuwe scan issues komen. Dit kan komen doordat er tussentijds wijzigingen hebben plaatsgevonden, bijvoorbeeld door een het updaten van een plugin. Ook worden door hackers continu nieuwe manieren ontwikkeld om websites aan te vallen. Deze nieuwe kwetsbaarheden worden regelmatig aan onze scanner toegevoegd.

Blijft de website gewoon werken tijdens de scan?

Ja, normaal gesproken wel. De scanner veroorzaakt wel meer belasting dan met normaal verkeer, maar dat merkt men meestal alleen bij gebruik van een shared of te krap bemeten server.

Web Applicatie Scans

Wordt tijdens de scan persoonlijke gegevens opgevraagd, verzameld of opgeslagen?

Nee, uitgebreide informatie hierover vindt u op onze website bij het privacybeleid.

Welke tools gebruiken jullie voor webapplicatie scans?

We gebruiken industry-standard tools zoals Qualys en Burp Suite om gedetailleerde security scans uit te voeren op webapplicaties en API’s.

Welke IP-adressen gebruikt de scanner?

De scanner gebruikt een van deze IP adressen:
144.24.249.196
132.226.222.205
154.16.73.227

144.24.249.196

132.226.222.205

154.16.73.227

Wat is het verschil tussen een webapplicatie scan en een penetratietest?

Een webapplicatie scan is voornamelijk geautomatiseerd, hoewel we de scan handmatig voorbereiden en na afloop controleren om te zorgen dat de resultaten volledig zijn. De focus ligt op het identificeren van bekende problemen. Een penetratietest bevat daarnaast ook handmatig testen, validatie en diepere analyse van hoe kwetsbaarheden kunnen worden misbruikt in realistische aanvalssituaties.

Wat is een webapplicatie scan?

Een webapplicatie scan is een geautomatiseerde security test die je website of applicatie controleert op bekende kwetsbaarheden, foutieve configuraties en zwakke plekken met tools zoals Qualys of Burp Suite.

Heeft een webapplicatie scan invloed op mijn website?

Webapplicatie scans zijn over het algemeen veilig en niet-intrusief. In sommige gevallen kunnen ze wel meer verkeer genereren of interactie hebben met kwetsbare functionaliteit, daarom stemmen we de scan zorgvuldig af.

Developer Scans

Worden Developer Scans op live of testomgevingen uitgevoerd?

Developer Scans worden uitgevoerd op staging- of testomgevingen. Scans op live omgevingen zijn ook mogelijk voor een licentie waarbij we all (of een deel van) de klanten scannen, afhankelijk van de setup en de wensen van het project.

Wat zijn Developer Scans?

Developer Scans zijn gestructureerde webapplicatie security scans die speciaal zijn bedoeld voor development teams en agencies om security in hun workflow te integreren. Ze helpen kwetsbaarheden vroeg te vinden en laten zien dat security onderdeel is van het ontwikkelproces.

Waarom zouden developers security scans in hun workflow opnemen?

Door security scanning te integreren in development worden problemen vroeg ontdekt, wordt het risico vóór deployment verlaagd en neemt het vertrouwen van klanten toe doordat security een actief onderdeel is van het proces.

Kunnen jullie alle klantwebsites van een developer scannen?

Ja. We kunnen periodieke scans instellen voor alle klantwebsites van een development agency, bijvoorbeeld een of meerdere keren per jaar, afhankelijk van de behoefte.

Hoe werken Developer Scan bundels?

We bieden scanbundels die je kunt gebruiken over meerdere projecten, zoals pakketten van 10, 30, 60 of 90 scans, en ook onbeperkte opties. Deze kun je flexibel inzetten afhankelijk van je development- en releaseproces. Alle bundels verlopen na 1 jaar.

Penetratie testing

Zal een penetratietest mijn website of applicatie verstoren?

Een penetratietest wordt zorgvuldig gecontroleerd uitgevoerd, maar kan in sommige gevallen verstoring veroorzaken als er ernstige beveiligingsproblemen in de applicatie aanwezig zijn. Kwetsbare functionaliteit of instabiele systemen kunnen in bepaalde situaties onverwacht gedrag vertonen tijdens het testen.

Daarom geven we er de voorkeur aan om tests uit te voeren in een staging- of pre-productieomgeving waar mogelijk. Zo kunnen kwetsbaarheden veilig worden geïdentificeerd en gevalideerd zonder impact op live gebruikers of productiesystemen. Als testen toch op een live omgeving moet gebeuren, wordt dit zorgvuldig afgebakend en gecontroleerd uitgevoerd om risico’s te minimaliseren.

Welke soorten penetratietests kunnen jullie aanbieden?

We kunnen een Kwetsbaarheden Pentest uitvoeren (volgens PTES), een Infrastructuur Pentest (intern en extern), een WiFi- en LAN access test, API test, app endpoint test, phishing test en code review/app analyse. Samen bepalen we vooraf je doelen om de test zo waardevol mogelijk te maken.

We kunnen een vulnerability pentest uitvoeren als greybox (meest voorkomend), blackbox of whitebox test.

Voor meer informatie klik here.

Wat ontvang ik na de test?

Je ontvangt een gedetailleerd rapport met de gevonden kwetsbaarheden, de ernst ervan, technische details, bewijs, mogelijke impact en praktische aanbevelingen om deze op te lossen.

Wat is een penetratie test?

Voor onze penetratietest (ook wel pentest genoemd) voeren we geavanceerde geautomatiseerde webapplicatie- en netwerkscans uit, aangevuld met grondige handmatige controles. Hiermee simuleren we een cyberaanval om te laten zien waar een aanvaller mogelijk systemen kan misbruiken. Onze ethische hackers gebruiken zowel geautomatiseerde als handmatige technieken, vergelijkbaar met die van kwaadwillende hackers, om kwetsbaarheden in webapplicaties te identificeren.

Wat is de Penetration Testing Execution Standard (PTES)?

De Penetration Testing Execution Standard (PTES) is een uitgebreid framework met richtlijnen, procedures en technieken voor het uitvoeren en beheren van penetratietests. Deze standaardmethodologie is ontwikkeld om te voorzien in de behoefte aan een consistente en gestructureerde aanpak van penetratietests, met als doel om consistente en betrouwbare resultaten te leveren.

De PTES-standaard bestaat uit zeven fasen, waaronder planning en scoping, informatieverzameling, dreigingsmodellering, het identificeren van kwetsbaarheden, exploitatie, post-exploitatie en rapportage, die hieronder allemaal worden toegelicht.

  1. Planning – De voorbereidingsfase van de pentest.
  2. Informatieverzameling – In deze fase wordt informatie over het doelsysteem verzameld.
  3. Dreigingsmodellering – Dit is een proces om de beveiliging van een applicatie, systeem of bedrijfsproces te optimaliseren door doelen en kwetsbaarheden te identificeren en vervolgens maatregelen te definiëren om de effecten van dreigingen op het systeem te voorkomen of te beperken.
  4. Kwetsbaarheidsanalyse – In deze fase worden kwetsbaarheden ontdekt en gevalideerd.
  5. Exploitatie – In deze fase wordt geprobeerd om de eerder geïdentificeerde en gevalideerde kwetsbaarheden te misbruiken.
  6. Post-exploitatie – In deze fase wordt controle over het doelsysteem behouden en worden gegevens verzameld.
  7. Rapportage – Een gedetailleerde analyse van de technische beveiligingsrisico’s van een organisatie, die verschillende aspecten van de security posture omvat, zoals kwetsbaarheden, hoge en lage prioriteit aandachtspunten en voorgestelde oplossingen.
Waarin verschilt een penetratietest van een vulnerability scan?

Een kwetsbaarhedenscan is grotendeels geautomatiseerd en identificeert mogelijke beveiligingsproblemen. Een penetratietest gaat verder en omvat handmatige verificatie, validatie van bevindingen, gecontroleerde exploitatie waar passend en een beoordeling van het daadwerkelijke risico voor je organisatie.

Deze tests worden uitgevoerd door een ethische hacker, die dezelfde technieken gebruikt als een kwaadwillende aanvaller, maar dan op een veilige en gecontroleerde manier om zwakke plekken te identificeren voordat ze in de praktijk misbruikt kunnen worden. In tegenstelling tot geautomatiseerde tools past een ethische hacker menselijke logica, context en ervaring toe om te begrijpen hoe kwetsbaarheden kunnen worden gecombineerd of misbruikt in realistische aanvalsscenario’s.

Security Review

Wie voert de Security Review uit?

De review wordt uitgevoerd door een cybersecurity-expert die de security posture van je organisatie beoordeelt vanuit zowel een technisch als operationeel perspectief. De focus ligt op het identificeren van gaten, inconsistenties en verbeterpunten in je huidige security setup en processen.

Wat krijg ik na een Security Review?

Je ontvangt een helder rapport met de sterke punten van je huidige setup, de gevonden gaten of risico’s, en praktische aanbevelingen om je algehele security te verbeteren. Het doel is om bruikbare inzichten te geven in plaats van technische exploit-details.

Wat is een Security Review?

Een Security Review is een gestructureerde beoordeling van de securitypraktijken, processen en technische controles binnen je organisatie. De focus ligt op hoe security in de praktijk wordt beheerd, inclusief procedures, systeemconfiguratie, updatebeheer en hoe risico’s worden gemonitord en aangepakt.

Waaruit bestaat een Security Review?

Een Security Review beoordeelt hoe je organisatie omgaat met security in de dagelijkse praktijk. Dit omvat systeem- en hardwareconfiguratie, patch- en updatebeheer, beleid, toegangscontrole, back-upprocessen, monitoring en of er regelmatig security tests zoals penetratietests of vulnerability scans worden uitgevoerd.

Waarom heb ik een Security Review nodig?

Veel beveiligingsproblemen worden niet alleen veroorzaakt door softwarekwetsbaarheden, maar door gaten in processen, configuratie, gebrek aan bewustzijn bij medewerkers of onderhoud. Een Security Review helpt deze zwakke punten te identificeren en geeft een duidelijk overzicht van wat goed werkt en wat verbeterd moet worden.

Kom ik in aanmerking voor een gesubsidieerde Security Review?

Let op, dit is alleen an toepassing voor bedrijven die in Ierland gevestigd zijn.
In aanmerking komende Ierse bedrijven die klant zijn bij Enterprise Ireland kunnen mogelijk in aanmerking komen voor de Enterprise Ireland Cyber Security Review, uitgevoerd in samenwerking met het National Cyber Security Centre. Dit programma biedt een gesubsidieerde security review om bedrijven te helpen hun cybersecuritypositie te beoordelen en te verbeteren.

De volledige toelatingscriteria en aanvraagdetails zijn hier beschikbaar: https://www.enterprise-ireland.com/cybersecurityreview

Is een Security Review gericht op het aanvallen van mijn systemen?

Aantal Een Security Review omvat geen exploitatie of aanvalstechnieken. Het is een beoordeling die zich richt op het begrijpen van je security posture, processen en controles, in plaats van het testen op exploiteerbare kwetsbaarheden.

Awareness Training

Wat is Security Awareness Training?

Security Awareness Training helpt medewerkers om cybersecuritydreigingen zoals phishing, social engineering en onveilig gedrag te herkennen en erop te reageren. Het doel is om het menselijke risico te verlagen, omdat dit één van de meest voorkomende oorzaken van security incidenten is.

Waarom is Security Awareness Training belangrijk?

De meeste security incidenten ontstaan door menselijke fouten, zoals het klikken op phishing links of het gebruik van zwakke wachtwoorden. Training helpt medewerkers om bedreigingen te herkennen en veiligere keuzes te maken in hun dagelijkse werk.

Voor wie is Security Awareness Training bedoeld?

Security Awareness Training wordt aanbevolen voor alle medewerkers, ongeacht technische kennis. Iedereen die e-mail, systemen of bedrijfsdata gebruikt speelt een rol in cybersecurity.

Bieden jullie ook online awareness training aan?

Ja. Naast on-site trainingen bieden we ook een online platform aan waarmee medewerkers security awareness training in hun eigen tempo kunnen volgen.

Bieden jullie ook on-site trainingen aan?

Ja. We bieden on-site security awareness trainingen aan die worden afgestemd op je organisatie. Deze sessies zijn interactief en gericht op realistische voorbeelden die relevant zijn voor je team.

Ik ben gehacked

Kunnen jullie verloren data herstellen of malware verwijderen?

Wij doen geen data recovery of malware removal. Wij richten ons op security assessments, het vinden van kwetsbaarheden en het geven van advies om je systeem weer goed en veilig in te richten.

Kunnen jullie precies onderzoeken wat er is gebeurd?

Het onderzoeken van de oorzaak van een hack is een gespecialiseerd onderdeel van cybersecurity. We raden aan om contact op te nemen met een cyber forensics bedrijf als je dit volledig wilt laten onderzoeken.
Wij kunnen wel helpen om te achterhalen hoe een aanvaller mogelijk is binnengekomen door een penetratietest uit te voeren. Als je precies wilt weten wie heeft aangevallen, wanneer dat is gebeurd en andere gedetailleerde forensische informatie, dan valt dat onder forensics.

Kunnen jullie alles herstellen na een hack?

Helaas kunnen we geen schade herstellen die is veroorzaakt door een hack, met uitzondering van WordPress websites. Neem hiervoor contact op met ons.

We kunnen wel helpen om de huidige security status te beoordelen en te verifiëren of kwetsbaarheden nog aanwezig zijn. We kunnen helpen om te controleren of alles is nagekeken en testen of het systeem weer veilig is nadat je het probleem hebt opgelost dat de hack heeft veroorzaakt. Volledige oplossing kan ook aanpassingen vereisen binnen je applicatie, hostingomgeving of externe systemen van derden.

Kun je checken of mijn website of applicatie nu veilig is?

Ja. We kunnen een gerichte security assessment uitvoeren om te bepalen of bekende kwetsbaarheden of aanvalspaden nog aanwezig zijn. Zo kunnen we bevestigen of het systeem na een incident in een stabiele en veilige staat is.

Ik denk dat ik gehackt ben. Wat moet ik als eerste doen?

Als je een beveiligingsincident vermoedt, is de eerste stap om je omgeving te stabiliseren. Dit betekent meestal dat je toegangsgegevens beveiligt, controleert op ongeautoriseerde wijzigingen en zeker stelt dat kritieke systemen niet actief worden aangevallen. Daarna kunnen we helpen om de situatie te beoordelen en de volgende stappen te bepalen.