@ de vraag steller, als jou opdrachtgever gewoon toegang heeft op de host dan download je toch gewoon de source code en wandel je daar door heen. Je hebt dan geen toestemming nodig van de hoster .... Tenzij je een blackbox test uitvoert, maar dan kun je beter een simulatie van de omgeving maken en daarop de applicatie gaan penetreren. Een hoster zal namelijk in 99% van de gevallen niet akkoord gaat met een online blackbox pentest tenzij de opdrachtgever de hoster zelf is Een ander puntje waar je op moet letten is het volgende: stel dat de applicatie eigendom is van een derde partij maar jou opdrachtgever een licentie heeft bij die partij en gebruik maakt van hun software en deze wil laten testen. In dat geval zou je naar lekken kunnen zoeken in die applicatie (officieel zelfs strafbaar volgens mij, maar wat niet weet wat niet deert) Als je dan een lek gevonden hebt dan zou je deze kunnen melden bij jou opdrachtgever maar absoluut niet bij de vendor (je zult waarschijnlijk een geheimhoudingsverklaring ...