Web & API Penetrationstest

Sicherheitsanalyse Ihrer Webanwendungen und Schnittstellen

Webanwendungen und APIs sind heute das primäre Einfallstor für Cyberangriffe. Ob Kundenportal, E-Commerce-Plattform oder interne Business-Applikation – jede Schnittstelle, die über das Internet erreichbar ist, stellt ein potenzielles Risiko dar. Ein Web & API Penetrationstest deckt Schwachstellen auf, bevor Angreifer sie ausnutzen können.

Warum Web & API Security?

Moderne Unternehmen setzen zunehmend auf webbasierte Anwendungen und API-gestützte Architekturen. Microservices, Single-Page-Applikationen und mobile Backends kommunizieren über moderne Schnittstellen wie beispielsweise REST, GraphQL, SOAP oder WebSockets – oft mit sensiblen Kundendaten, Zahlungsinformationen oder geschäftskritischen Prozessen. Die OWASP Top 10 zeigen Jahr für Jahr, dass Schwachstellen wie Injection, Broken Authentication und Security Misconfiguration weiterhin weit verbreitet sind.

Automatisierte Scanner erkennen nur einen Bruchteil der tatsächlichen Risiken. Business-Logic-Schwachstellen, fehlerhafte Zugriffskontrollen zwischen verschiedenen Benutzerrollen oder unsichere API-Designs werden nur durch manuelle, gezielte Tests aufgedeckt. Genau hier setzt unser Web & API Penetrationstest an: Wir kombinieren automatisierte Tools mit manueller Expertise, um ein umfassendes Bild Ihrer Angriffsfläche zu erhalten.

Unser Ansatz orientiert sich am OWASP Testing Guide und dem OWASP API Security Top 10. Wir prüfen nicht nur technische Schwachstellen, sondern analysieren auch die Geschäftslogik Ihrer Anwendung – denn die gefährlichsten Schwachstellen sind oft jene, die kein Scanner findet.

Unsere Methodik

Scoping & Threat Modeling

Authentication & Authorization Testing

Business Logic & Injection Testing

API Security Assessment

Reporting & Debrief

Was wir testen

Authentication & Session Management

Input Validation

API Endpoints (REST/GraphQL)

File Upload & Handling

Access Control

Business Logic

Aus der Praxis

Anonymisiertes Praxisbeispiel

Ein Schweizer Software-Unternehmen. 1 Web-App. Fremde Kundendaten in Sekunden zugreifbar.

IDOR- und JWT-Schwachstellen innerhalb von zwei Wochen behoben. Retest bestätigt: Zugriff auf fremde Kundendaten nicht mehr möglich. Neukunde erfolgreich ongeboardet.

Fremddaten zugreifbar JWT geknackt in <1s Behebung in zwei Wochen

Branche: Software-Unternehmen

Umfang: 1 Web-App, REST API

Dauer: 5 Tage

Ein Schweizer Software-Unternehmen lässt seine Kernapplikation prüfen, bevor ein wichtiger Neukunde ongeboardet wird. Die Applikation verarbeitet sensible Kundendaten und wurde teilweise von einem externen Entwicklungsteam erstellt.

Zentrale Findings

Critical IDOR-Schwachstelle in der API: Durch Manipulation der Benutzer-ID können Kontodaten anderer Nutzer eingesehen und Transaktionen ausgelöst werden
High Fehlende Rate-Limiting auf dem Login-Endpoint ermöglicht Brute-Force-Angriffe auf Benutzerkonten
Medium JWT-Token mit schwachem Signing Key (HS256, 8 Zeichen) — Token-Fälschung in Sekunden möglich

Ihre Ergebnisse

Nach Abschluss des Tests erhalten Sie einen umfassenden Bericht, der sich am OWASP Testing Guide orientiert und folgende Elemente enthält:

OWASP-konformer Bericht mit Executive Summary und technischem Detail
Detaillierte Schwachstellenbeschreibungen mit Proof-of-Concept (PoC) für jedes Finding
Risikobewertung nach CVSS mit Einordnung in den Geschäftskontext
Konkrete Handlungsempfehlungen und Fix Guidance für Ihr Entwicklungsteam
Persönliches Debrief-Meeting zur Besprechung der Ergebnisse und Priorisierung

Warum manuelles Testing?

✓ 20x mehr Schwachstellen: Manuelle Tests finden bis zu 20x mehr Schwachstellen als automatisierte Scanner.
✓ Geschäftslogik-Fehler: Fehler in der Anwendungslogik, die kein Tool erkennen kann.
✓ Regulatorische Anforderungen: DORA, NIS2, PCI DSS 4.0 verlangen explizit manuelle Prüfung.
✓ Keine False Positives: Nur bestätigte, ausnutzbare Schwachstellen — kein Rauschen.

Häufig gestellte Fragen

Unsere Tests orientieren sich am OWASP Testing Guide und dem OWASP API Security Top 10. Wir decken alle relevanten Kategorien ab – von Injection und Broken Authentication bis hin zu Business Logic Flaws und API-spezifischen Schwachstellen wie BOLA (Broken Object Level Authorization).

Ja, wir testen sowohl unauthentifizierte als auch authentifizierte Bereiche. Für authentifizierte Tests stellen Sie uns Testkonten mit verschiedenen Rollen bereit (z.B. Standardbenutzer, Admin). So können wir auch horizontale und vertikale Privilegieneskalation sowie rollenbasierte Zugriffsfehler aufdecken.

Wir können auch Anwendungen in der Entwicklungsphase testen – idealerweise auf einer Staging-Umgebung. Ein Pentest vor dem Go-Live ist sogar besonders wertvoll: Schwachstellen lassen sich in der Entwicklung deutlich günstiger beheben als nach dem Launch. Wir passen den Testumfang an den aktuellen Entwicklungsstand an.

Offerte anfragen