Alle Leistungen

OWASP Top 10 & darüber hinaus

Web-Applikation Pentest

NIS2 Art. 21 (2)(e)+(f) · Netzwerk-/Systemsicherheit & Wirksamkeitsprüfung

Unsere Experten testen Ihre Web-Anwendungen nach dem OWASP-Standard und den neuesten Angriffstechniken. Von klassischen Injektionsangriffen bis zu komplexen Business-Logik-Fehlern: Wir finden kritische Schwachstellen, bevor Angreifer sie ausnutzen.

Was wir prüfen

SQL-Injection, XSS, CSRF
Authentifizierungs- & Session-Management
API-Sicherheitsanalyse (REST, GraphQL)
Business Logic Testing
IDOR & Zugriffssteuerungsfehler
Server-Side Request Forgery (SSRF)
File Upload & Path Traversal
Broken Access Control

Sie erhalten

Technischer Abschlussbericht
Executive Summary
CVSS-Bewertung je Schwachstelle
Proof-of-Concept für kritische Findings
Remediation Guide
Re-Test nach Behebung (optional)

Vorgehensweise

Unser Prozess Schritt für Schritt

1

Reconnaissance

Analyse der Anwendungsarchitektur, Technologie-Stack-Erkennung, Crawling und Mapping aller Endpunkte.

2

Authentifizierung & Autorisierung

Prüfung von Login-Mechanismen, Session-Handling, Token-Sicherheit und Zugriffssteuerung.

3

Input Validation Testing

Systematisches Testen aller Eingabefelder auf Injection-Schwachstellen, XSS und weitere Input-basierte Angriffe.

4

Business Logic Testing

Manuelle Analyse von Geschäftsprozessen auf logische Fehler, die automatische Scanner nicht erkennen.

5

API-Sicherheitsanalyse

Überprüfung von REST- und GraphQL-APIs auf fehlende Authentifizierung, Rate Limiting und Datenlecks.

Technologien

Eingesetzte Tools & Methoden

Burp Suite ProOWASP ZAPSQLmapNiktoPostmanffufnucleijwt_tool

Im Detail

Was Sie wissen sollten

Warum ein Web-Applikation Pentest?

Webanwendungen sind die exponierteste Angriffsfläche der meisten Unternehmen: Sie sind rund um die Uhr aus dem Internet erreichbar und verarbeiten oft die sensibelsten Daten - Kundenkonten, Bestellungen, Gesundheits- oder Finanzdaten. Automatische Scanner finden dabei nur einen Bruchteil der Schwachstellen. Business-Logik-Fehler, Berechtigungsprobleme zwischen Mandanten oder verkettete Angriffe über mehrere Endpunkte erkennt nur ein erfahrener Tester, der die Anwendung wie ein Angreifer benutzt.

Für wen ist der Test geeignet?

Für Betreiber von Kundenportalen, Online-Shops, SaaS-Plattformen und internen Webanwendungen ebenso wie für Software-Hersteller, die ihren Kunden Sicherheitsnachweise liefern müssen. Auch REST- und GraphQL-APIs sowie mobile App-Backends testen wir vollständig - nach OWASP API Security Top 10. Vor einem Go-Live, nach größeren Releases und als regelmäßiger Jahres-Check ist der Test besonders wertvoll.

Dauer, Ablauf und Standards

Ein Web-Pentest dauert je nach Komplexität der Anwendung typischerweise 3 bis 5 Werktage. Wir testen nach OWASP Top 10 und OWASP ASVS (Application Security Verification Standard), wahlweise als Black-Box-Test ohne Vorwissen oder als effizienterer Grey-Box-Test mit Testzugängen. Jede kritische Schwachstelle dokumentieren wir mit einem nachvollziehbaren Proof-of-Concept und einer konkreten Behebungsempfehlung für Ihre Entwickler.

FAQ

Häufig gestellte Fragen

Was ist der Unterschied zum automatischen Vulnerability Scan?

Automatische Scanner finden ~30% der Schwachstellen. Ein manueller Pentest deckt Business-Logik-Fehler, komplexe Angriffsketten und Autorisierungsprobleme auf.

Testen Sie auch APIs und mobile Backends?

Ja, wir testen REST-APIs, GraphQL-Endpoints und mobile App-Backends vollständig nach OWASP API Security Top 10.

Benötigen wir Quellcode-Zugriff?

Nein, wir führen Black-Box-Tests ohne Quellcode durch. Auf Wunsch bieten wir auch Grey-Box-Tests mit partieller Code-Einsicht an.

Was kostet ein Web-Applikation Pentest?

Die Kosten richten sich nach Komplexität und Anzahl der Anwendungen. Mit unserem Kostenrechner erhalten Sie in 2 Minuten eine unverbindliche Preisschätzung für Ihr Projekt.

Kosten unverbindlich berechnen

Wie lange dauert ein Web-Pentest?

Typischerweise 3-5 Werktage je nach Komplexität der Anwendung. Wir empfehlen den Test auf einer Staging-Umgebung mit produktionsnahen Daten - so können wir ohne Risiko in die Tiefe gehen.

Weitere Leistungen

Jetzt starten

Ihre IT-Sicherheit beginnt heute.

Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.