Penetration Testing – OranjeRaksha

Wat is Penetration Testing?

What is Penetration Testing?

Penetration Testing is een gecontroleerde, doelgerichte aanval op uw omgeving – uitgevoerd door professionals – om te testen hoe goed uw beveiliging standhoudt.

Penetration Testing is a controlled, goal-oriented attack on your environment – executed by professionals – to test how well your defences hold up.

Waar een Vulnerability Assessment vooral gericht is op het vinden van kwetsbaarheden, richt Penetration Testing zich op het benutten ervan: kunnen we inloggen, data uitlezen, rechten verhogen of doorstappen naar andere systemen, binnen de afgesproken spelregels?

Where a Vulnerability Assessment mainly focuses on identifying weaknesses, Penetration Testing focuses on exploiting them in a controlled way: can we gain access, read data, escalate privileges or pivot to other systems, within agreed rules of engagement?

We testen onder andere webapplicaties, API’s, mobiele apps, thick clients (desktopapplicaties), interne en externe netwerken en cloudomgevingen. Zo krijgt u een realistisch beeld van hoe een aanvaller naar uw organisatie kijkt – inclusief ketens van zwakke plekken die samen een groot risico vormen.

We test web applications, APIs, mobile apps, thick clients (desktop applications), internal and external networks and cloud environments. This gives you a realistic view of how an attacker sees your organisation – including chains of weaknesses that together create serious risk.

Waarom is het belangrijk?

Why does it matter?

In Europa – van Nederland, België en Duitsland tot Frankrijk, Spanje, de Nordics en de bredere EU – zijn organisaties steeds meer afhankelijk van digitale diensten én strengere regelgeving (zoals NIS2 en sectorale richtlijnen).

Across Europe – from the Netherlands, Belgium and Germany to France, Spain, the Nordics and the wider EU – organisations depend heavily on digital services and face stricter regulations (such as NIS2 and sector-specific rules).

Penetration Testing helpt u aantoonbaar te maken dat u niet alleen policies en technische maatregelen heeft, maar ook dat deze in de praktijk standhouden tegen realistische aanvalsscenario’s. Het maakt zwakke plekken zichtbaar vóórdat ze door criminelen, insiders of opportunistische aanvallers worden gevonden.

Penetration Testing helps you demonstrate not only that you have policies and technical controls, but that they actually withstand realistic attack scenarios. It reveals weaknesses before they are found by criminals, insiders or opportunistic attackers.

Voor veel organisaties in de EU is Penetration Testing een vast onderdeel van secure development, change management, cloudmigraties en periodieke security assurance – en een belangrijke bouwsteen richting compliance en contractuele eisen van klanten en partners.

For many EU organisations, Penetration Testing is a structural part of secure development, change management, cloud migrations and periodic security assurance – and a key building block for compliance and contractual requirements from customers and partners.

Praktijkvoorbeelden uit de echte wereld

Real-world examples

Onderstaande (geanonimiseerde en publiek geïnspireerde) scenario’s laten zien hoe één kwetsbaarheid – of een keten van kleine fouten – kan uitgroeien tot een ernstig incident.

The (anonymised and publicly inspired) scenarios below show how a single vulnerability – or a chain of small weaknesses – can escalate into a serious incident.

Case 1 – Europese webapplicatie

Case 1 – European web application

Van één kwetsbare parameter naar volledige account-takeover

From one vulnerable parameter to full account takeover

Een Europese online dienstverlener had een publieke webapplicatie die klanten in meerdere EU-landen bediende. In een test bleek één API-endpoint onvoldoende inputvalidatie te hebben. Hierdoor kon een tester de toegangscontrole omzeilen en inloggen als andere klanten, inclusief inzage in persoonsgegevens en documenten.

A European online service provider operated a public web application serving customers in multiple EU countries. During testing, a single API endpoint was found to lack proper input validation, allowing the tester to bypass access controls and log in as other users – gaining access to personal data and documents.

Door gerichte Penetration Testing werd dit ontdekt vóórdat er misbruik was. De organisatie kon de kwetsbaarheid herstellen, logging uitbreiden en aanvullende controles in de ontwikkelstraat opnemen.

Targeted Penetration Testing discovered this before exploitation occurred. The organisation fixed the issue, enhanced logging and added extra controls in their development pipeline.

Case 2 – Thick client & interne omgeving

Case 2 – Thick client & internal environment

Desktopapplicatie met hardcoded credentials

Desktop application with hardcoded credentials

Een organisatie gebruikte een interne thick client (desktopapplicatie) voor gevoelige bedrijfsdata. Tijdens een Penetration Test werd de applicatie geanalyseerd. In de binary bleken hardcoded credentials en API-keys aanwezig te zijn, die toegang gaven tot een productie-API met ruime rechten.

An organisation used an internal thick client (desktop application) to access sensitive business data. During a Penetration Test, the binary was analysed and hardcoded credentials and API keys were found, granting broad access to a production API.

Met deze gegevens kon een aanvaller – zodra hij de applicatie in handen had – buiten de normale toegangscontrole om data uitlezen en wijzigen. Door de test konden credentials worden vervangen door veiligere, token-gebaseerde mechanismen en werd logging van API-gebruik verbeterd.

With these secrets, an attacker with access to the application could bypass normal access control and read or modify data. The test enabled the organisation to move to safer, token-based mechanisms and significantly improve API usage logging.

Scope van Penetration Testing

Scope of Penetration Testing

De exacte scope bepalen we samen. Hieronder een overzicht van typische domeinen die wij testen voor organisaties in Nederland, België, Duitsland, Frankrijk, de Nordics en de rest van Europa.

We define the exact scope together. Below is an overview of typical domains we test for organisations in the Netherlands, Belgium, Germany, France, the Nordics and the wider European region.

1. Externe netwerk- & perimeter-testen

1. External network & perimeter testing

We kijken naar uw publiek toegankelijke systemen zoals VPN, firewalls, remote toegang, portals en public-facing servers vanuit het perspectief van een externe aanvaller.

We assess publicly exposed systems such as VPNs, firewalls, remote access, portals and internet-facing servers from an external attacker’s point of view.

Identificatie van exposed services, versies en configuraties.
Pogingen tot uitbuiting van bekende kwetsbaarheden.
Controle op zwakheden in authenticatie en crypto.
Identification of exposed services, versions and configurations.
Attempts to exploit known vulnerabilities.
Checks for weaknesses in authentication and crypto.

2. Interne netwerk- & AD-testen

2. Internal network & AD testing

Vanuit een gesimuleerde “ingelogde” positie testen we wat er mogelijk is als een aanvaller of insider al basis-toegang heeft tot het interne netwerk.

From a simulated “logged-in” position we test what is possible once an attacker or insider has basic access to your internal network.

Netwerkscans, discovery en trust-relaties.
Active Directory misconfiguraties en privilege escalation.
Beoordeling van segmentatie en interne controls.
Network discovery and trust relationship mapping.
Active Directory misconfigurations and privilege escalation paths.
Assessment of segmentation and internal controls.

3. Webapplicaties & API’s

3. Web applications & APIs

We testen webapplicaties en API’s op OWASP-gerelateerde kwetsbaarheden en logica-fouten die leiden tot datalekken, account-takeover of misbruik van functionaliteit.

We test web applications and APIs for OWASP-related vulnerabilities and logic flaws that enable data exposure, account takeover or abuse of functionality.

Authenticatie, sessiebeheer en autorisatie.
Inputvalidatie, injection, misbruik van endpoints.
Rate limiting, API keys, versiebeheer en documentatie.
Authentication, session management and authorisation.
Input validation, injection, endpoint abuse.
Rate limiting, API keys, versioning and documentation.

4. Mobiele applicaties

4. Mobile applications

We beoordelen iOS- en Android-apps inclusief hun backend-API’s, opslag van gevoelige data en bescherming tegen reverse engineering.

We assess iOS and Android apps including their backend APIs, local storage of sensitive data and resistance against reverse engineering.

Opslag van tokens, credentials en PII op het device.
Verkeersanalyse tussen app en backend.
Tamper-resistance, jailbreak/root detectie waar van toepassing.
Storage of tokens, credentials and PII on the device.
Traffic analysis between app and backend.
Tamper resistance and jailbreak/root detection where applicable.

5. Thick clients & desktopapplicaties

5. Thick clients & desktop applications

We testen lokaal geïnstalleerde applicaties (thick clients) op kwetsbaarheden in communicatie, opslag, rechten en reverse engineering.

We test locally installed applications (thick clients) for weaknesses in communication, storage, privileges and reverse engineering exposure.

Hardcoded credentials, API-keys en endpoints.
Insecure DLL loading, lokale privilege escalation.
Bescherming van configuratie, licentie- en logbestanden.
Hardcoded credentials, API keys and endpoints.
Insecure DLL loading and local privilege escalation.
Protection of configuration, licence and log files.

6. Cloud & identity

We richten ons op cloudrechten, identity & access management (IAM) en koppelingen met on-premise omgevingen, met focus op misbruikbare combinaties van rechten.

We focus on cloud permissions, identity & access management (IAM) and integrations with on-prem environments, with an eye for combinations of privileges that are exploitable.

IAM-rollen, policies en privilege escalation paden.
Toegang tot storage, secrets, logs en beheerinterfaces.
Koppelingen tussen cloud en interne netwerken.
IAM roles, policies and privilege escalation paths.
Access to storage, secrets, logs and management interfaces.
Connections between cloud and internal networks.

7. Configuratie & hardening

7. Configuration & hardening

Parallel aan de testen beoordelen we waar mogelijk de hardening van systemen: van besturingssystemen en middleware tot containers en reverse proxies.

In parallel to exploitation we review hardening of systems where possible: operating systems, middleware, containers and reverse proxies.

Controle van basis-hardening en patchniveaus.
Beoordeling van logging, monitoring en alerting.
Afstemming met bestaande hardeningstandaarden.
Check of baseline hardening and patch levels.
Review of logging, monitoring and alerting.
Alignment with existing hardening standards.

8. Keten- en integratierisico’s

8. Integration & chain risks

We kijken naar koppelingen met derde partijen, SaaS-diensten en externe API’s die een zwakke schakel kunnen vormen in de keten.

We evaluate connections with third parties, SaaS services and external APIs that may introduce weak links into your security chain.

Toegang van partners en leveranciers tot uw omgeving.
Gebruik van gedeelde secret stores en integratiesleutels.
Risico’s van trust-relaties tussen systemen en tenants.
Partner and vendor access into your environment.
Use of shared secret stores and integration keys.
Risks from trust relationships between systems and tenants.

Onze aanpak

Our approach

We combineren Europese best practices met praktische ervaring bij organisaties in verschillende sectoren. De aanpak hieronder passen we aan uw omgeving, risico’s en regelgeving aan.

We combine European best practices with hands-on experience across sectors. The approach below is tailored to your environment, risks and regulatory context.

Stap 1

Step 1

Scoping & regels van engagement

Scoping & rules of engagement

We bepalen samen wat in scope is, welke testtypen we uitvoeren, welke tijdvakken we hanteren en welke systemen we expliciet uitsluiten.

Together we define what is in scope, which test types we will perform, which time windows apply and which systems are explicitly excluded.

Afstemming met IT, security en business.
Heldere afspraken over impact en communicatie.
Alignment with IT, security and business.
Clear agreements on impact and communication.

Stap 2

Step 2

Verkenning & threat modelling

Reconnaissance & threat modelling

We verzamelen informatie over doelwitten, technologieën, endpoints, afhankelijkheden en gebruikersrollen, en koppelen dit aan realistische aanvalscenario’s.

We gather information about targets, technologies, endpoints, dependencies and user roles, and map them to realistic attack scenarios.

Technische en functionele verkenning.
Scenario’s afgestemd op uw sector en risico’s.
Technical and functional reconnaissance.
Scenarios aligned with your sector and risks.

Stap 3

Step 3

Exploitation & chaining

We proberen kwetsbaarheden op een gecontroleerde manier te misbruiken om toegang te krijgen, rechten te verhogen of data inzichtelijk te maken – binnen de afgesproken grenzen.

We attempt to exploit vulnerabilities in a controlled way to gain access, escalate privileges or access data – strictly within agreed boundaries.

Combineren van meerdere bevindingen tot ketenaanvallen.
Beperken van impact op productie en gebruikers.
Chaining multiple findings into realistic attack paths.
Limiting impact on production systems and users.

Stap 4

Step 4

Post-exploitation & laterale beweging

Post-exploitation & lateral movement

Waar toegestaan onderzoeken we wat er mogelijk is ná een succesvolle exploit: kunnen we verder in het netwerk, extra data bereiken of andere systemen in gevaar brengen?

Where allowed, we examine what is possible after a successful exploit: can we move further into the network, reach additional data or affect other systems?

Inzicht in de échte impact van een lek.
Concrete handvatten voor segmentatie en detectie.
Clear insight into the true impact of a breach.
Concrete guidance for segmentation and detection.

Stap 5

Step 5

Rapportage & prioritering

Reporting & prioritisation

U ontvangt een auditwaardig rapport met managementsamenvatting, technische details, risico-inschatting en een duidelijke prioriteitenlijst per domein en systeem.

You receive an audit-grade report with executive summary, technical details, risk ratings and a clear list of priorities per domain and system.

Helder onderscheid tussen must-do’s en nice-to-haves.
Rapport geschikt voor IT, security, audit en management.
Clear separation between must-do and nice-to-have actions.
Reporting suitable for IT, security, audit and management.

Stap 6

Step 6

Follow-up & her-test

Follow-up & re-test

Na de test blijven we beschikbaar voor toelichting, workshops met uw teams en ondersteuning bij het doorvoeren van verbeteringen. Desgewenst voeren we een her-test uit om oplossingen te valideren.

After the test, we remain available for clarifications, workshops with your teams and support during remediation. If desired, we perform a re-test to validate the fixes.

Uitlegsessies voor ontwikkel-, infra- en cloudteams.
Optionele her-test met testrapport voor audit & compliance.
Review sessions for development, infra and cloud teams.
Optional re-test with evidence for audit & compliance.

Sensitive information is handled with utmost care during the assessment and securely destroyed after the retention period.

Wilt u weten hoe uw organisatie er in een realistische aanvalssituatie voorstaat? Deel uw omgeving en doelen, dan bepalen we samen de scope van een Penetration Test die bij uw risico’s en EU-context past.

Want to understand how your organisation holds up under realistic attack scenarios? Share your environment and objectives, and together we define a Penetration Test scope that fits your risks and European context.

Vraag uw Penetration Test aan Request your penetration test

Test uw beveiliging op de manier waarop aanvallers dat doen.

Test your security the way attackers actually do.

Wat is Penetration Testing?

What is Penetration Testing?

Waarom is het belangrijk?

Why does it matter?

Praktijkvoorbeelden uit de echte wereld

Real-world examples

Scope van Penetration Testing

Scope of Penetration Testing

1. Externe netwerk- & perimeter-testen

1. External network & perimeter testing

2. Interne netwerk- & AD-testen

2. Internal network & AD testing

3. Webapplicaties & API’s

3. Web applications & APIs

4. Mobiele applicaties

4. Mobile applications

5. Thick clients & desktopapplicaties

5. Thick clients & desktop applications

6. Cloud & identity

6. Cloud & identity

7. Configuratie & hardening

7. Configuration & hardening

8. Keten- en integratierisico’s

8. Integration & chain risks

Onze aanpak

Our approach