Penetration Testing
Web Application Penetrationstest
Pentest für Webapps & APIs – Auth, Business Logic, OWASP & API Security
Ein Web Application Pentest prüft Webanwendungen und APIs auf reale Angriffsmöglichkeiten – mit Fokus auf Authentisierung, Autorisierung, Business-Logik und typische Web-/API-Risiken (OWASP).
Im Mittelpunkt steht nicht „Scan-Output“, sondern die Frage:
Welche Schwachstellen sind tatsächlich ausnutzbar – und was ist der schnellste Weg, sie zu beheben?
Sinnvoll vor Go-Live, großen Releases, bei externen Anforderungen (z. B. Kunden, Audit, Security Questionnaire) oder wenn Ihre Anwendung Internet-exponiert ist.
Business-Logic Fokus
Missbrauchsszenarien & Logikfehler – dort, wo Scans meist scheitern.
Sessions, 2FA, RBAC/ABAC, Token-Flows, Access Control Tests.
Fix-first Prioritäten
Reproduktion + konkrete Fix-Hinweise, damit Dev-Teams schnell shippen können.
Was ist ein Web Application Pentest?
Ein Webapplikations-Pentest kombiniert manuelle Tests mit gezielter Verifikation automatisierter Hinweise. Ziel ist, ausnutzbare Schwachstellen aufzudecken und nachvollziehbar zu belegen – inklusive Angriffspfad und Impact.
Typische Angriffe (abhängig vom Scope):
- Broken Access Control (IDOR, Rollen-/Rechtefehler)
- Authentisierungs-/Session-Themen (Token, Cookies, SSO)
- Injection (SQL/NoSQL/Command/Template)
- XSS, CSRF, SSRF
- API Security (BOLA, Mass Assignment, Rate Limits)
- File Upload / Deserialization (wenn relevant)
- Business Logic Abuse (z. B. Preis-/Rabatt-/Workflow-Manipulation)
Ist das für Sie relevant?
Typische Auslöser
- Go-Live / Launch einer Webapp oder API
- Großer Release (Auth, Payments, Rollenmodell, Admin-Bereich)
- Internet-exponierte Anwendung mit sensiblen Daten
- Enterprise-Kunden verlangen Pentest-Nachweis
- Compliance / Security Questionnaires / Audits
- Security Incident oder Bug-Bounty Findings
Häufige Risiken
- IDOR / Broken Access Control (häufigster Real-World Fail)
- Token/Session Probleme (Fixation, Leakage, Weak Rotation)
- SSRF → Cloud Metadata / interne Netzwerke
- Rate Limit / Abuse (Credential Stuffing, Enumeration)
- Business-Logik (Rabatt, Limits, Statuswechsel, Rechtepfade)
Typischer Scope
- Login, Registrierung, Passwort-Reset
- Sessions/Cookies, Token-Flows (JWT/OAuth)
- 2FA / MFA (im Scope)
- SSO/Identity Provider (optional)
- Rollenlogik (RBAC/ABAC)
- IDOR / Objekt-Referenzen
- Admin-Funktionen & Privilege Escalation
- Multi-Tenant Isolation
- Workflow-Manipulation (Status, Limits, Freigaben)
- Preis-/Rabatt-/Checkout Missbrauch
- Race Conditions (z. B. doppelte Transaktionen)
- Abuse-Szenarien (Scraping, Enumeration, Fraud)
- Injection, XSS, SSRF, CSRF
- Security Headers, CORS, Content Security Policy (CSP)
- API: BOLA, Mass Assignment, Rate Limits
- Upload/Deserialization (wenn relevant)
Web Pentest vs. Vulnerability Scan
Ein Scan ist nützlich – aber er ersetzt keinen Pentest.
| Web Application Pentest | Vulnerability Scan |
|---|---|
| Manuelle Tests & Business-Logic Abuse | Automatische Erkennung |
| Nachweis: ausnutzbar + Impact | Hinweise / potenzielle Schwachstellen |
| Priorisierung nach Exploitbarkeit | Priorisierung nach Regeln/CVSS |
| Konkrete Fix-Hinweise | Tool-Output (oft ohne Kontext) |
Ablauf
URLs, APIs, Rollen, Ziele, Out-of-Scope
Test-Accounts, Staging/Prod Regeln, Zeitfenster
Attack Surface, Endpoints, Flows
Auth, Access Control, Logic, OWASP, API
Findings, Prioritäten, Fix-Hinweise
Walkthrough, Q&A, Maßnahmenplan
Typische Dauer: 3–10 Arbeitstage (abhängig von App-Anzahl, Rollenmodell, API-Umfang und Business-Logik).
Das erhalten Sie (Deliverables)
Executive Summary
Risikoübersicht für Entscheider, priorisierte Top-Risiken.
Technischer Bericht
Reproduktion, Screenshots, PoCs (wo sinnvoll), klare Nachweise.
Angriffspfade
Wie ein Angreifer von A nach B kommt – inkl. Impact.
Fix-Hinweise
Konkrete Empfehlungen, häufig mit Code-/Config-Bezug.
Verifikation der Fixes – sinnvoll für Enterprise-Kunden oder Compliance-Anforderungen.
Typische Kosten
1 App, wenige Rollen, begrenzte APIs
5.000–10.000 €
mehrere Flows, Admin-Bereich, API-Umfang
10.000–20.000 €
Multi-Tenant, viele Rollen, kritische Logik
ab 20.000 €
- Anzahl Apps/URLs/Endpoints
- Rollenmodell & Auth-Varianten (SSO/OAuth/2FA)
- Komplexität der Business-Logik (Payments, Workflows, Limits)
- Staging vs. Produktion (Monitoring, Regeln, Testfenster)
- Retest / Verification
Vorbereitung & Zugriff
- URL-Liste (Webapp, Admin, API Base URLs)
- Test-Accounts je Rolle (mind. 1 pro Rolle)
- Infos zu Auth (SSO/OAuth/2FA) & Flows
- Testfenster / Regeln (Staging bevorzugt, Prod möglich)
- Keine DoS-Tests standardmäßig
- Abstimmung sensibler Funktionen (Payments, Mails, Exports)
- Logging/Monitoring während Prod-Tests
- Notfall-Stop & Eskalationskontakte
FAQ
Testet ihr auch APIs?
Ja. APIs sind typischer Bestandteil, wenn sie im Scope sind. Wir testen u. a. Access Control (BOLA), Rate Limits, Mass Assignment und Token-Flows.
Reicht ein OWASP-Scan?
Nein. Scans finden Hinweise, aber Business-Logik und reale Exploitpfade erfordern manuelle Tests und Verifikation.
Braucht ihr eine Staging-Umgebung?
Staging ist empfohlen. Produktion ist möglich, wenn Regeln, Monitoring und Abbruchprozesse klar definiert sind.
Wie viele Test-Accounts braucht ihr?
Mindestens einen Account pro Rolle. Ideal sind realistische Rechte und ggf. getrennte Accounts für Admin/Support/Standardnutzer.
Was ist mit 2FA/MFA?
2FA kann getestet werden. Häufig wird dafür ein abgestimmtes Testverfahren genutzt (z. B. Test-Geräte, temporäre Ausnahmen oder Backup-Codes).
Related pages
- Penetrationstest: Scope, Kosten und Anbieterauswahl
- Pentest vs. Vulnerability Scan
- Kosten für Penetrationstests