Beveiligingsaudit voor Webapplicaties: Technische Handleiding voor IT-Beheerders (Beginners) Inleiding Een beveiligingsaudit helpt bij het identificeren van kwetsbaarheden in uw webapplicatie en het verbeteren van de algehele beveiligingspositie. Deze handleiding begeleidt u door de methodologie, benodigde tools, procedures, rapportage en follow-up acties. 1. Auditmethodologie 1.1 Doelstellingen Definiëren - Identificeer kritieke onderdelen van de webapplicatie. - Bepaal de scope: welke onderdelen worden getest? - Stel duidelijke doelstellingen vast, zoals het vinden van SQL-injecties, XSS-kwetsbaarheden, onveilige configuraties. 1.2 Voorbereiding - Maak een back-up van de applicatie en configuraties. - Informeer betrokken teams over de audit om verstoringen te voorkomen. - Zorg voor de juiste toegangsrechten. 2. Benodigde Tools - **Web Vulnerability Scanners** - OWASP ZAP (gratis, open source) - Burp Suite Community Edition - **Configuratie- en bestandsanalyse** - Nmap (netwerkscans) - Nikto (webserver scanner) - **Handmatige tests** - Browser Developer Tools - SQLMap (voor SQL-injectie tests) - **Rapportage en documentatie** - Excel of Word - Open-source tools zoals Dradis 3. Stapsgewijze Procedures 3.1 Kwetsbaarheidsscans uitvoeren a. **Netwerkscan met Nmap** - Doel: Open poorten en services identificeren. - Voorbeeldcommando: ``` nmap -sV -p- jouw-domein.nl ``` - Resultaat: inzicht in open poorten en services. b. **Webserver scan met Nikto** - Doel: Detecteren van onveilige configuraties en bekende kwetsbaarheden. - Voorbeeldcommando: ``` nikto -h http://jouw-domein.nl ``` c. **Automatische kwetsbaarheidsscan met OWASP ZAP of Burp** - Configureer proxy in browser. - Voer actieve en passieve scans uit. - Let op de rapporten voor gevonden issues. 3.2 Handmatige tests a. **Input Validatie** - Test formuliervelden op SQL-injecties via input zoals `' OR '1'='1`. - Controleer op Cross-Site Scripting (XSS) door scripts in te voeren: ```html <script>alert('XSS')</script> ``` b. **Authenticatie en sessiebeheer** - Test zwakke wachtwoorden. - Controleer of sessies correct verlopen en veilig zijn opgeslagen. c. **Configuratiecontroles** - Controleer of HTTPS wordt gebruikt. - Bekijk beveiligingsheaders (Content-Security-Policy, X-Frame-Options). 3.3 Resultaten documenteren - Noteer gevonden kwetsbaarheden, inclusief: - Beschrijving - Risico-inschatting - Reproduceerbare stappen - Screenshots of bewijs 4. Rapportageformaten - **Samenvatting** - Overzicht van de belangrijkste bevindingen. - **Details per kwetsbaarheid** - Beschrijving, impact, bewijs, prioriteit. - **Aanbevelingen** - Concrete verbetermaatregelen. - **Bijlagen** - Scanresultaten, logs, scripts. 5. Aanbevelingen voor Verbeteringen - **Versterk inputvalidatie** - Gebruik whitelisting waar mogelijk. - **Implementeer HTTPS** - Gebruik certificaten (Let’s Encrypt). - **Update en patch systemen** - Zorg dat alle software up-to-date is. - **Beveilig headers instellen** - Content-Security-Policy, X-Content-Type-Options, etc. - **Sterke authenticatie** - Wachtwoordbeleid, multifactor authenticatie. - **Regelmatige scans en audits** - Plan periodieke controles. 6. Valkuilen en Tips - **Valkuil: Niet alle kwetsbaarheden worden automatisch gevonden** - Combineer tools met handmatige tests. - **Valkuil: Fout-positieven** - Controleer waarschuwingen handmatig. - **Tip: Documenteer alles** - Zorg voor een gestructureerd verslag. - **Tip: Communiceer duidelijk** - Informeer ontwikkelaars en management over bevindingen. 7. Follow-up Acties - Prioriteer kwetsbaarheden op basis van risico. - Implementeer verbeteringen en patches. - Herhaal de audit na het aanbrengen van wijzigingen. - Monitor de applicatie continu met beveiligingsbewuste workflows. Conclusie Met deze handleiding kunt u als IT-beheerder, ook als beginner, een gestructureerde beveiligingsaudit uitvoeren. Blijf leren en verbeteren om de beveiliging van uw webapplicatie te versterken.

# Technische Handleiding: Beveiligingsaudit Webapplicatie ## 1. Inleiding Deze handleiding beschrijft een complete beveiligingsaudit voor webapplicaties, geschikt voor IT-beheerders met basiskennis van beveiliging. We doorlopen het volledige auditproces van planning tot rapportage. ## 2. Auditmethodologie ### 2.1 OWASP-aanpak Volg de OWASP-testmethodologie: - **Informatieverzameling**: Begrijp de applicatiestructuur - **Configuratiebeoordeling**: Analyseer server- en applicatie-instellingen - **Authenticatie-testing**: Controleer inlogmechanismen - **Autorisatie-testing**: Test toegangsrechten - **Sessiebeheer**: Analyseer sessiebeveiliging - **Invoervalidatie**: Test op injectie-aanvallen - **Foutafhandeling**: Analyseer error messages - **Cryptografie**: Beoordeel encryptiegebruik ### 2.2 Testfasen 1. **Planning** (1-2 dagen) 2. **Information Gathering** (1 dag) 3. **Vulnerability Scanning** (2-3 dagen) 4. **Handmatige Testing** (3-4 dagen) 5. **Rapportage** (1-2 dagen) ## 3. Benodigde Tools ### 3.1 Scanning Tools (Gratis) - **OWASP ZAP**: Web application scanner - **Nmap**: Netwerkscanner - **Nikto**: Webserver scanner - **SQLMap**: SQL injection tool - **Burp Suite Community**: Proxy en scanner ### 3.2 Analyse Tools - **Wireshark**: Netwerkprotocol analyzer - **SSL Labs SSL Test**: SSL-configuratie checker - **Retire.js**: Verouderde JavaScript detectie ### 3.3 Handmatige Testing Tools - **Browser Developer Tools** - **Curl/Postman**: API testing - **Custom scripts**: Voor specifieke tests ## 4. Stapsgewijze Procedures ### 4.1 Voorbereiding (Dag 1) **Stap 1: Scope bepalen** ```markdown - Definieer testomgeving (productie/acceptatie) - Identificeer alle subdomeinen en endpoints - Stel testvensters vast (bijv. buiten kantooruren) - Documenteer uitsluitingen (bijv. betalingsgateways) ``` **Stap 2: Testomgeving opzetten** - Installeer alle benodigde tools - Configureer proxy-instellingen - Maak testaccounts aan met verschillende rechten **Veelvoorkomende valkuil**: Vergeten back-up te maken van configuraties voor testing. ### 4.2 Informatieverzameling (Dag 2) **Stap 3: Applicatiemapping** ```bash # Subdomeinen vinden nmap -sn --script hostmap-crtsh targetdomein.nl # Poortscan uitvoeren nmap -sV -sC -O targetdomein.nl ``` **Stap 4: Spidering** - Gebruik OWASP ZAP spider functionaliteit - Manueel navigeren door applicatie - Documenteer alle gevonden endpoints **Praktijkvoorbeeld**: Soms worden API-endpoints alleen via JavaScript geladen - controleer network tab in browser. ### 4.3 Automatische Scans (Dag 3-4) **Stap 5: Vulnerability Scanning met OWASP ZAP** 1. Start ZAP en configureer proxy 2. Voer "Quick Start" scan uit 3. Gebruik "Active Scan" voor diepgaand onderzoek 4. Exporteer resultaten **Stap 6: Specifieke Scans** ```bash # SQL injection testen sqlmap -u "https://target.nl/login" --forms --batch # SSL configuratie checken sslscan targetdomein.nl ``` **Tip**: Voer scans gefaseerd uit om overbelasting te voorkomen. ### 4.4 Handmatige Testing (Dag 5-7) **Stap 7: Authenticatie Testing** - Test wachtwoordbeleid (sterkte, expiry) - Controleer account lockout mechanisme - Test "Forgot Password" functionaliteit - Verifieer multi-factor authenticatie **Stap 8: Autorisatie Testing** - Probeer toegang tot andere gebruikersdata (IDOR) - Test privilege escalation - Controleer direct object references **Stap 9: Invoer Validatie** ```javascript // Test XSS <script>alert('XSS')</script> // Test SQL injection ' OR '1'='1 ``` **Stap 10: Sessiebeheer** - Analyseer cookie-instellingen (HttpOnly, Secure) - Test sessie timeout - Controleer sessie fixation ### 4.5 Configuratiecontroles (Dag 8) **Stap 11: Server Configuratie** - HTTP headers (CSP, HSTS, X-Frame-Options) - Foutafhandeling (geen stack traces) - Bestandsupload beperkingen - CORS configuratie **Stap 12: Applicatie Configuratie** - Framework versies en bekende kwetsbaarheden - Onnodige services en poorten - Default accounts en wachtwoorden ## 5. Veelvoorkomende Valkuilen ### 5.1 Technische Valkuilen - **Te brede scope**: Focus op kritieke functionaliteiten eerst - **Vergeten dependencies**: Check third-party libraries en frameworks - **Geen baseline**: Maak back-up voor vergelijking - **Performance impact**: Test buiten piekuren ### 5.2 Organisatorische Valkuilen - **Geen management buy-in**: Zorg voor formele autorisatie - **Slechte communicatie**: Houd stakeholders geïnformeerd - **Geen hersteltijd**: Plan tijd voor remediatie ## 6. Rapportage ### 6.1 Rapportageformaat **Executive Samenvatting** (1 pagina) - Algemene bevindingen - Risiconiveau - Aanbevolen acties **Technisch Rapport** (gedetailleerd) ```markdown ## Bevinding: SQL Injection Kwetsbaarheid - **Risico**: Hoog - **Locatie**: /search endpoint - **Beschrijving**: Gebruikersinvoer niet gevalideerd - **Impact**: Database kan uitgelezen worden - **Aanbeveling**: Gebruik prepared statements - **Proof of Concept**: Bijlage 1 - **Prioriteit**: Kritiek ``` ### 6.2 Risicoclassificatie - **Kritiek**: Onmiddellijke actie vereist (binnen 24u) - **Hoog**: Actie binnen 1 week - **Medium**: Planning voor komende maand - **Laag**: Overweeg bij volgende release ## 7. Aanbevelingen voor Verbeteringen ### 7.1 Directe Acties 1. **Patch management**: Houd frameworks en libraries up-to-date 2. **WAF implementatie**: Web Application Firewall 3. **Monitoring**: Implementeer security monitoring 4. **Back-up procedures**: Test recovery process ### 7.2 Lange Termijn Verbeteringen 1. **Secure Development Lifecycle**: Integreer security in ontwikkelproces 2. **Penetration testing**: Regelmatige externe audits 3. **Security training**: Ontwikkelaarstrainingen 4. **Bug bounty programma**: Overweeg responsible disclosure ## 8. Follow-up Acties ### 8.1 Direct na Audit - **Presenteer bevindingen** aan stakeholders - **Prioriteer issues** op basis van risico - **Maak actieplan** met tijdlijnen - **Wijs eigenaren** toe per issue ### 8.2 Herstelfase - **Wekelijkse voortgangsbesprekingen** - **Her-testen** van opgeloste issues - **Documenteer geleerde lessen** ### 8.3 Continue Verbetering - **Implementeer security gates** in CI/CD pipeline - **Regelmatige security scans** (maandelijks) - **Security awareness training** voor ontwikkelaars ## 9. Praktische Voorbeelden ### 9.1 OWASP ZAP Scan Uitvoeren ```bash # Start ZAP /zap.sh -daemon -port 8080 -config api.disablekey=true # Voer spider uit curl "http://localhost:8080/JSON/spider/action/scan/?url=https://target.nl&maxChildren=10" # Start active scan curl "http://localhost:8080/JSON/ascan/action/scan/?url=https://target.nl" ``` ### 9.2 SSL Configuratie Check ```bash # Test SSL configuratie openssl s_client -connect target.nl:443 -servername target.nl # Check cipher suites nmap --script ssl-enum-ciphers -p 443 target.nl ``` ## 10. Conclusie Een succesvolle beveiligingsaudit vereist zorgvuldige planning, systematische uitvoering en duidelijke rapportage. Begin klein, focus op hoog-risico issues, en bouw security in als continu proces in plaats van een eenmalige activiteit. **Belangrijkste succesfactoren**: - Management support - Duidelijke scope - Systematische aanpak - Praktische aanbevelingen - Follow-through op resultaten Deze handleiding biedt een solide basis voor het uitvoeren van je eerste webapplicatie audit. Pas de aanpak aan op basis van je specifieke applicatie en organisatiebehoeften.