Voorbereidingen

Hoe bereiden jullie de scan voor?

Om de scan zo effectief en snel mogelijk te laten verlopen en de overlast te beperken is een goede voorbereiding van de scan belangrijk. Hiervoor gaan wij na het versturen van de vooraankondiging aan de slag om de website in kaart te brengen en het geautomatiseerd inloggen te testen (indien er een account gedeelte aanwezig is). Dit kan al wat extra traffic op uw website of mailverkeer veroorzaken. De echte scan zal echter pas plaatsvinden in de afgesproken week (of op de afgesproken dag).

Welke voorbereidingen moet ik treffen?

Om de scan goed te laten verlopen, moeten de volgende zaken geregeld zijn:

Om te voorkomen dat onze scanner wordt geblokkeerd, moet onze ip adressen gewhitelist worden: 144.24.249.196 en 132.226.222.205 en 154.16.73.227. Onze user agent is te herkennen aan het woord “ForusP”.
Heeft u pagina’s achter een login met een reCaptcha op het inlogformulier, dan moet deze voor de duur van de scan (max. 25 uur) uitgeschakeld worden of u kunt de IP-adressen van onze scanner whitelisten. Alle andere reCaptchas kunnen ingeschakeld blijven. Het is uiterst belangrijk dat onze scanner toegang heeft tot dit deel van de site, vooral wanneer er persoonlijke gegevens worden opgeslagen.
Veel mails en/of bestellingen van ons email account veiligheidsscan@forus-p.nl betekent dat uw website dit zonder beperking toestaat. En als wij dat kunnen, dan kunnen anderen dat ook! Een reCaptcha op alle formulieren of een redirect/blacklisting op uw mailserver kan dit voorkomen.
Controleer voor de zekerheid uw back-up procedure voordat we de scan uitvoeren.

Mag ik een specifieke scandatum en/of starttijd doorgeven?

Dat mag, we kunnen de scan 24/7 starten.

Mag ik een tijdslimiet doorgeven?

Nee dat kan niet. Onze scanner heeft maximaal 25 uur de tijd nodig om een website te doorlopen. Met een tijdslimiet bestaat de kans dat mogelijke kwetsbaarheden niet gevonden worden. Wij kunnen dan geen goede scan garanderen.

Kan de scan uitgevoerd worden op een testomgeving?

Omdat een scan op de testomgeving vaak problemen geeft, heeft het altijd onze voorkeur om op de live omgeving te scannen.

Voor Thuiswinkel leden scannen wij alleen op live omgevingen. Indien dit niet mogelijk is, kan er contact worden opgenomen met Thuiswinkel.

Kunnen jullie de login achterwege laten?

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om het login gedeelte mee te nemen, omdat het vaak voorkomt dat juist achter de login fouten worden gevonden die hackers kunnen misbruiken.

Kunnen jullie een subdomein achterwege laten?

Wij voeren de veiligheidsscan op uw gehele website uit. Daarbij is het belangrijk om ook subdomeinen mee te nemen, helemaal als er direct een link op uw website daar naartoe gaat. Ook hier kunnen kwetsbaarheden gevonden vonden.

Ik heb meerdere identieke sites op dezelfde server; moeten die allemaal gescand worden?

Sites zijn vaak alleen identiek als er een taalmodule aan te pas komt. Als het om een kopie van de site gaat, kunnen er altijd nog verschillen zijn, bijv. door het gebruik van verschillende plugins. Ook kan er een verschil ontstaan tussen updates die gedaan zijn op één site maar niet op de ander. Gevonden kwetsbaarheden dienen dan ook op alle sites opgelost te worden.

Waarom moet de Captcha op de inlogpagina uitgezet worden?

Onze scanner moet geautomatiseerd in kunnen loggen op uw website. Hiermee kunnen wij ook alles achter de inlog scannen op kwetsbaarheden. Dit is belangrijk aangezien hier meestal persoonsgegevens opgeslagen worden. De Captchas op formulieren mogen aan blijven, maar op de inlogpagina van het account dus niet. U kunt de Captcha gedurende de scan uitzetten (maximaal 25 uur) of u kunt de IP-adressen van onze scanner voor de Captcha whitelisten (144.24.249.196 en 132.226.222.205 en 154.16.73.227).

Waarom wordt onze firewall (een belangrijk onderdeel op vlak van security) volledig gebypassed

Een firewall ziet de scan vaak als een bot en zal ons blokkeren. Een hacker kan kwetsbaarheden vaak misbruiken door handmatig te hacken. Daarbij kan een firewall soms wel iets aan beveiliging bieden, maar vaak zitten de issues in zaken waar een firewall niet ingrijpt.

Het whitelisten van onze IP-range kan overigens ook tijdelijk, voor een periode van maximaal 25 uur wanneer de scan draait. U kunt hiervoor een datum/ starttijd aan ons doorgeven via support@forus-p.com.

Wij controleren zelf regelmatig de veiligheid van de website; is jullie scan dan nodig?

U mag ook een eigen scan rapport overhandigen, zoals een Pentest rapport, met vermelding van de scandatum, wie dit heeft uitgevoerd, en dat er geen high risk kwetsbaarheden werden geconstateerd. Het gebeurt echter vaak genoeg dat wij toch high risk fouten ontdekken nadat een Pentest is uitgevoerd.