🌵OldMartijntje

penetration testing - pen testing

2 min read

ID: I202512111123 Status: idea Tags: Security, hacking

penetration testing - pen testing

Wat?

Penetration testing (pen testing) is een beveiligingsoefening waarbij een cybersecurity-expert opzettelijk kwetsbaarheden in een computersysteem probeert te vinden en uit te buiten. Het doel is zwakke plekken in de verdediging bloot te leggen die aanvallers zouden kunnen misbruiken.

Praktisch voorbeeld: Net zoals een bank iemand inhuurt die zich als inbreker verkleedt en probeert in te breken en de kluis te openen — als dit lukt, weet de bank hoe ze hun beveiliging moeten versterken.

Waarom?

  • Kwetsbaarheden opsporen - Ontdekt beveiligingsgaten die je anders zou missen
  • Aanvallen voorkomen - Kwetsbaarheden kunnen worden gerepareerd voordat aanvallers ze misbruiken
  • Compliance - Sommige regelgeving vereist pen testing
  • Gegevensbescherming - Helpt gevoelige gegevens veilig en privé te houden

Wie voert pen tests uit?

Ethical hackers - cybersecurity experts die met toestemming in systemen “hacken” om beveiliging te verbeteren.

  • Vaak buiten contractors (hebben geen voorkennis van het systeem)
  • Veel hebben geavanceerde graden en pen testing certificaten
  • Sommige zijn zelfs hervormd criminele hackers

Dit zorgt ervoor dat blinde vlekken worden blootgelegd die de oorspronkelijke ontwikkelaars hebben gemist.

Soorten pen tests

TypeBeschrijving
Open-boxEthical hacker krijgt vooraf beveiligingsinformatie
Closed-box (single-blind)Hacker krijgt alleen de bedrijfsnaam
Covert (double-blind)Vrijwel niemand weet dat de test plaatsvindt (zelfs IT/security niet)
ExternalTest tegen externe systemen (website, externe servers) — vaak extern uitgevoerd
InternalTest vanuit het interne netwerk — test schade door medewerkers achter firewall

Hoe verloopt een typische pen test?

1. Reconnaissance

  • Ethical hacker verzamelt informatie om aanval te plannen
  • Spionage, data gathering

2. Gaining & Maintaining Access

Tools en technieken:

  • Software: Brute-force attacks, SQL injections
  • Hardware: Kleine boxes die in netwerk kunnen worden geplugged voor remote access
  • Social engineering: Phishing emails, zich voordoen als bezorger voor fysieke toegang

3. Covering Tracks

  • Verwijdert ingeplante hardware
  • Herstelt systeem naar oorspronkelijke staat
  • Vermijdt detectie

Na de pen test

Ethical hacker rapporteert bevindingen → Security team implementeert upgrades:

Voor web applicaties:

  • Rate limiting
  • Nieuwe WAF (Web Application Firewall) regels
  • DDoS mitigation
  • Betere form validatie en sanitization

Voor interne netwerken:

  • Secure Web Gateway
  • Zero Trust security model implementatie

Voor social engineering:

  • Betere employee training
  • Verbeterde access control systemen
  • Preventie van lateral movement

References

Ik moest dit artikel van cloudflare lezen als voorbereiding op deze les

Discussion for penetration testing - pen testing

Graph View

Backlinks