Was wir prüfen
Sie erhalten
Vorgehensweise
Unser Prozess Schritt für Schritt
Reconnaissance
Analyse der Anwendungsarchitektur, Technologie-Stack-Erkennung, Crawling und Mapping aller Endpunkte.
Authentifizierung & Autorisierung
Prüfung von Login-Mechanismen, Session-Handling, Token-Sicherheit und Zugriffssteuerung.
Input Validation Testing
Systematisches Testen aller Eingabefelder auf Injection-Schwachstellen, XSS und weitere Input-basierte Angriffe.
Business Logic Testing
Manuelle Analyse von Geschäftsprozessen auf logische Fehler, die automatische Scanner nicht erkennen.
API-Sicherheitsanalyse
Überprüfung von REST- und GraphQL-APIs auf fehlende Authentifizierung, Rate Limiting und Datenlecks.
Technologien
Eingesetzte Tools & Methoden
Im Detail
Was Sie wissen sollten
Warum ein Web-Applikation Pentest?
Webanwendungen sind die exponierteste Angriffsfläche der meisten Unternehmen: Sie sind rund um die Uhr aus dem Internet erreichbar und verarbeiten oft die sensibelsten Daten - Kundenkonten, Bestellungen, Gesundheits- oder Finanzdaten. Automatische Scanner finden dabei nur einen Bruchteil der Schwachstellen. Business-Logik-Fehler, Berechtigungsprobleme zwischen Mandanten oder verkettete Angriffe über mehrere Endpunkte erkennt nur ein erfahrener Tester, der die Anwendung wie ein Angreifer benutzt.
Für wen ist der Test geeignet?
Für Betreiber von Kundenportalen, Online-Shops, SaaS-Plattformen und internen Webanwendungen ebenso wie für Software-Hersteller, die ihren Kunden Sicherheitsnachweise liefern müssen. Auch REST- und GraphQL-APIs sowie mobile App-Backends testen wir vollständig - nach OWASP API Security Top 10. Vor einem Go-Live, nach größeren Releases und als regelmäßiger Jahres-Check ist der Test besonders wertvoll.
Dauer, Ablauf und Standards
Ein Web-Pentest dauert je nach Komplexität der Anwendung typischerweise 3 bis 5 Werktage. Wir testen nach OWASP Top 10 und OWASP ASVS (Application Security Verification Standard), wahlweise als Black-Box-Test ohne Vorwissen oder als effizienterer Grey-Box-Test mit Testzugängen. Jede kritische Schwachstelle dokumentieren wir mit einem nachvollziehbaren Proof-of-Concept und einer konkreten Behebungsempfehlung für Ihre Entwickler.
FAQ
Häufig gestellte Fragen
Was ist der Unterschied zum automatischen Vulnerability Scan?
Automatische Scanner finden ~30% der Schwachstellen. Ein manueller Pentest deckt Business-Logik-Fehler, komplexe Angriffsketten und Autorisierungsprobleme auf.
Testen Sie auch APIs und mobile Backends?
Ja, wir testen REST-APIs, GraphQL-Endpoints und mobile App-Backends vollständig nach OWASP API Security Top 10.
Benötigen wir Quellcode-Zugriff?
Nein, wir führen Black-Box-Tests ohne Quellcode durch. Auf Wunsch bieten wir auch Grey-Box-Tests mit partieller Code-Einsicht an.
Was kostet ein Web-Applikation Pentest?
Die Kosten richten sich nach Komplexität und Anzahl der Anwendungen. Mit unserem Kostenrechner erhalten Sie in 2 Minuten eine unverbindliche Preisschätzung für Ihr Projekt.
Kosten unverbindlich berechnenWie lange dauert ein Web-Pentest?
Typischerweise 3-5 Werktage je nach Komplexität der Anwendung. Wir empfehlen den Test auf einer Staging-Umgebung mit produktionsnahen Daten - so können wir ohne Risiko in die Tiefe gehen.
Weitere Leistungen
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.