Web & API Penetrationstest

Sicherheitsanalyse Ihrer Webanwendungen und Schnittstellen

Webanwendungen und APIs sind heute das primäre Einfallstor für Cyberangriffe. Ob Kundenportal, E-Commerce-Plattform oder interne Business-Applikation – jede Schnittstelle, die über das Internet erreichbar ist, stellt ein potenzielles Risiko dar. Ein Web & API Penetrationstest deckt Schwachstellen auf, bevor Angreifer sie ausnutzen können.

Warum Web & API Security?

Moderne Unternehmen setzen zunehmend auf webbasierte Anwendungen und API-gestützte Architekturen. Microservices, Single-Page-Applikationen und mobile Backends kommunizieren über moderne Schnittstellen wie beispielsweise REST, GraphQL, SOAP oder WebSockets – oft mit sensiblen Kundendaten, Zahlungsinformationen oder geschäftskritischen Prozessen. Die OWASP Top 10 zeigen Jahr für Jahr, dass Schwachstellen wie Injection, Broken Authentication und Security Misconfiguration weiterhin weit verbreitet sind.

Automatisierte Scanner erkennen nur einen Bruchteil der tatsächlichen Risiken. Business-Logic-Schwachstellen, fehlerhafte Zugriffskontrollen zwischen verschiedenen Benutzerrollen oder unsichere API-Designs werden nur durch manuelle, gezielte Tests aufgedeckt. Genau hier setzt unser Web & API Penetrationstest an: Wir kombinieren automatisierte Tools mit manueller Expertise, um ein umfassendes Bild Ihrer Angriffsfläche zu erhalten.

Unser Ansatz orientiert sich am OWASP Testing Guide und dem OWASP API Security Top 10. Wir prüfen nicht nur technische Schwachstellen, sondern analysieren auch die Geschäftslogik Ihrer Anwendung – denn die gefährlichsten Schwachstellen sind oft jene, die kein Scanner findet.

Unsere Methodik

01

Scoping & Threat Modeling

02

Authentication & Authorization Testing

03

Business Logic & Injection Testing

04

API Security Assessment

05

Reporting & Debrief

Was wir testen

Authentication & Session Management

Input Validation

API Endpoints (REST/GraphQL)

File Upload & Handling

Access Control

Business Logic

Typisches Szenario

So könnte ein typisches Engagement aussehen

Branche: Software-Unternehmen

Umfang: 1 Web-App, REST API

Dauer: 5 Tage

Framework: OWASP Top 10

Ein Schweizer Software-Unternehmen lässt seine Kernapplikation prüfen, bevor ein wichtiger Neukunde ongeboardet wird. Die Applikation verarbeitet sensible Kundendaten und wurde teilweise von einem externen Entwicklungsteam erstellt.

Zentrale Findings

Critical — IDOR-Schwachstelle in der API: Durch Manipulation der Benutzer-ID können Kontodaten anderer Nutzer eingesehen und Transaktionen ausgelöst werden
High — Fehlende Rate-Limiting auf dem Login-Endpoint ermöglicht Brute-Force-Angriffe auf Benutzerkonten
Medium — JWT-Token mit schwachem Signing Key (HS256, 8 Zeichen) — Token-Fälschung in Sekunden möglich

Eine solche IDOR-Schwachstelle kann bei einem Datenleck zu erheblichem Reputations- und Complianceschaden führen. Typische Behebungsdauer: 1-2 Wochen. Ein Retest bestätigt die Korrekturen.

Ihre Ergebnisse

Nach Abschluss des Tests erhalten Sie einen umfassenden Bericht, der sich am OWASP Testing Guide orientiert und folgende Elemente enthält:

OWASP-konformer Bericht mit Executive Summary und technischem Detail
Detaillierte Schwachstellenbeschreibungen mit Proof-of-Concept (PoC) für jede Findings
Risikobewertung nach CVSS mit Einordnung in den Geschäftskontext
Konkrete Handlungsempfehlungen und Fix Guidance für Ihr Entwicklungsteam
Persönliches Debrief-Meeting zur Besprechung der Ergebnisse und Priorisierung

Jetzt anfragen

Häufig gestellte Fragen

Unsere Tests orientieren sich am OWASP Testing Guide und dem OWASP API Security Top 10. Wir decken alle relevanten Kategorien ab – von Injection und Broken Authentication bis hin zu Business Logic Flaws und API-spezifischen Schwachstellen wie BOLA (Broken Object Level Authorization).

Ja, wir testen sowohl unauthentifizierte als auch authentifizierte Bereiche. Für authentifizierte Tests stellen Sie uns Testkonten mit verschiedenen Rollen bereit (z.B. Standardbenutzer, Admin). So können wir auch horizontale und vertikale Privilegieneskalation sowie rollenbasierte Zugriffsfehler aufdecken.

Wir können auch Anwendungen in der Entwicklungsphase testen – idealerweise auf einer Staging-Umgebung. Ein Pentest vor dem Go-Live ist sogar besonders wertvoll: Schwachstellen lassen sich in der Entwicklung deutlich günstiger beheben als nach dem Launch. Wir passen den Testumfang an den aktuellen Entwicklungsstand an.