Gratis pentest-tools voor uw website

Waarom uw eigen website testen?

"Als u het niet test, doet een aanvaller het wel." Penetratietesten (pentests) identificeren kwetsbaarheden voordat ze worden misbruikt. Professionele pentests kunnen duizenden euro's kosten, maar er zijn uitstekende gratis tools die u zelf kunt gebruiken voor een eerste beoordeling.

Belangrijk: test alleen uw eigen websites en systemen, of systemen waarvoor u expliciete toestemming heeft. Ongeautoriseerd testen is strafbaar.

Categorie 1: Alles-in-één scanners

OWASP ZAP (Zed Attack Proxy)

De open source standaard voor webapplicatie-security testing, onderhouden door OWASP.

| Aspect | Detail | |---|---| | Type | Proxy-based scanner | | Geschikt voor | Webapplicaties, API's, SPA's | | Niveau | Beginner tot expert | | Platform | Windows, macOS, Linux | | Prijs | Gratis (open source) |

Wat het doet:

• Automatische vulnerability scanning
• Actieve en passieve scanning
• Spider/crawler voor het ontdekken van pagina's
• Fuzzing van parameters
• API-scanning (OpenAPI/Swagger)

Aan de slag:

# Installeren via Docker
docker pull zaproxy/zap-stable

# Geautomatiseerde scan
docker run -t zaproxy/zap-stable zap-baseline.py -t https://uwsite.nl

Nikto

Een klassieke webserver-scanner die controleert op duizenden bekende kwetsbaarheden.

# Installeren
sudo apt install nikto

# Scan uitvoeren
nikto -h https://uwsite.nl

Wat het detecteert: verouderde software, gevaarlijke bestanden, misconfiguraties, bekende kwetsbaarheden.

Categorie 2: SSL/TLS-analyse

SSL Labs Server Test

De industriestandaard voor SSL/TLS-configuratieanalyse.

| Aspect | Detail | |---|---| | URL | ssllabs.com/ssltest | | Type | Online tool | | Output | Score A+ tot F, gedetailleerd rapport |

Controleert:

• Certificaatgeldigheid en keten
• Ondersteunde protocollen (TLS 1.0-1.3)
• Cipher suites
• Bekende kwetsbaarheden (POODLE, Heartbleed, BEAST)
• HSTS-configuratie
• Certificate Transparency

testssl.sh

Command-line alternatief voor SSL Labs, draait lokaal.

# Installeren
git clone --depth 1 https://github.com/drwetter/testssl.sh.git

# Scan uitvoeren
./testssl.sh/testssl.sh https://uwsite.nl

Categorie 3: Security headers

Security Headers (securityheaders.com)

Analyseert de HTTP security headers van uw website en geeft een score.

Controleert:

• Content-Security-Policy
• Strict-Transport-Security
• X-Content-Type-Options
• X-Frame-Options
• Referrer-Policy
• Permissions-Policy

Mozilla Observatory

Uitgebreidere headeranalyse van Mozilla, inclusief best practice aanbevelingen.

| Aspect | Detail | |---|---| | URL | observatory.mozilla.org | | Score | 0-130 punten | | Extra | Integreert SSL Labs en andere tests |

Categorie 4: DNS en e-mail

MXToolbox

Controleert DNS-configuratie, e-mail security en blacklists.

Nuttig voor:

• SPF-record validatie
• DKIM-verificatie
• DMARC-beleid
• Blacklist-check (is uw IP geblacklist?)
• DNS-propagatie

Hardenize

Uitgebreide analyse van uw domein, e-mail en webbeveiliging in één scan.

Categorie 5: CMS-specifiek

WPScan (WordPress)

De standaard security scanner voor WordPress-sites.

# Installeren
gem install wpscan

# Scan uitvoeren
wpscan --url https://uwwordpresssite.nl --enumerate vp,vt,u

Detecteert: kwetsbare plugins, kwetsbare thema's, gebruikersenumeratie, XML-RPC misbruik, wp-config exposure.

Joomscan (Joomla)

Vergelijkbaar met WPScan maar voor Joomla-installaties.

Categorie 6: Netwerk en poorten

Nmap

De meest gebruikte port scanner ter wereld.

# Basis portscan
nmap -sV uwsite.nl

# Uitgebreidere scan met scripts
nmap -sV --script=http-enum,http-headers uwsite.nl

Detecteert: open poorten, draaiende services en versies, bekende kwetsbaarheden via NSE-scripts.

Categorie 7: API-testing

Postman

Niet primair een security tool, maar waardevol voor het testen van API-autorisatie en -validatie.

Security-tests met Postman:

• Test BOLA: wijzig object-ID's in requests
• Test authenticatie: stuur requests zonder/met verlopen tokens
• Test autorisatie: probeer admin-endpoints als gewone gebruiker
• Test inputvalidatie: stuur ongeldige data

Burp Suite Community Edition

Professionele proxy-tool met een gratis community-versie.

| Aspect | Detail | |---|---| | Type | Intercepting proxy | | Geschikt voor | Handmatige testing, API-analyse | | Community Edition | Gratis (beperkte automatisering) |

Aanbevolen testworkflow

Stap 1: Passieve analyse (5 minuten)

1. SSL Labs — test certificaat en TLS-configuratie
2. Security Headers — check HTTP headers
3. Mozilla Observatory — overall beoordeling

Stap 2: Geautomatiseerde scan (15-30 minuten)

4. OWASP ZAP baseline scan — automatische kwetsbaarheidsdetectie
5. Nikto — webserver-specifieke checks

Stap 3: Gerichte tests (30-60 minuten)

6. Nmap — poort- en servicescan
7. CMS-specifieke scanner (WPScan voor WordPress)
8. Handmatige API-tests met Postman of Burp Suite

Stap 4: Rapportage

9. Prioriteer bevindingen op ernst (kritiek, hoog, gemiddeld, laag)
10. Stel een actieplan op met deadlines

Beperkingen van gratis tools

| Beperking | Professioneel alternatief | |---|---| | Geen business logic testing | Handmatige pentest door expert | | Beperkte diepte | Commerciële scanners (Acunetix, Burp Pro) | | Veel false positives | Expert-verificatie | | Geen compliance-rapportage | WarDek compliance scan | | Geen continue monitoring | SaaS-gebaseerde scanners |

Gratis tools zijn een goed startpunt, maar vervangen geen professionele security assessment voor kritieke applicaties.

Juridische kanttekeningen

• Test alleen uw eigen systemen of systemen waarvoor u schriftelijke toestemming heeft
• Documenteer uw toestemming en scope vóór de test
• Informeer uw hostingprovider als u intensieve scans uitvoert
• Wees voorzichtig met actieve scans op productie-omgevingen (prefereer staging)

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.