Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

API-TESTS

API-Penetrationstests: wo Ihre API mehr preisgibt, als sie sollte

Tests von REST, GraphQL und gRPC nach den OWASP API Security Top 10, durchgeführt von OSCP-zertifizierten Pentestern. Zugriffskontrolle auf Objekt- und Funktionsebene, Autorisierung und übermäßige Datenpreisgabe.

REST, GraphQL und gRPCTests nach den OWASP API Security Top 10Zugriffskontrolle und Autorisierung, nicht nur das SchemaBericht mit Nachweisen und Retest nach Behebung

WARUM ES WICHTIG IST

Eine API hat keine Oberfläche, daher werden Autorisierungsfehler leicht übersehen

Mobile und Web-Apps sprechen über APIs mit dem Backend, und zunehmend ist die API selbst das Produkt. Ohne Oberflächenschicht nehmen Sie leicht an, der Client verhalte sich immer korrekt. Ein Angreifer trifft diese Annahme nicht.

Etwas, das wir immer wieder sehen: Das Ändern einer Objekt-ID in einer Anfrage gab die Daten eines anderen Mandanten zurück (BOLA). Der Endpoint funktionierte spezifikationskonform, ihm fehlte nur die Prüfung, ob das Objekt dem Aufrufer gehört. Für eine mandantenfähige App ist das ein direktes Leck zwischen Kunden.

WAS WIR PRÜFEN

Die vollständigen OWASP API Security Top 10

01
Zugriff auf Objektebene
BOLA und IDOR: Zugriff auf Daten anderer Nutzer durch Tausch einer ID.
02
Zugriff auf Funktionsebene
BFLA: Aufruf von Admin-Funktionen aus einem normalen Nutzerkonto.
03
Authentifizierung
Schwache Tokens, fehlerhafte JWT-Validierung, Session-Hijacking und Replay.
04
Übermäßige Datenpreisgabe
Rückgabe von mehr Feldern als nötig und Mass Assignment beim Schreiben.
05
Limits und Ressourcen
Fehlendes Rate-Limiting, Anfälligkeit für Missbrauch und Ressourcenerschöpfung.
06
GraphQL und Injection
Introspektion, Abfragetiefe sowie SQL-, NoSQL- und SSRF-Injection.

Wir testen REST, GraphQL und gRPC. Den Umfang passen wir an Architektur und Berechtigungsmodell an.

UNSER ANSATZ

Wir testen Autorisierung aus Sicht jeder Rolle und jedes Mandanten

Die meisten kritischen API-Fehler sind Autorisierungsfehler, die in der Dokumentation nicht auftauchen. Wir melden uns als verschiedene Nutzer und Mandanten an und prüfen an jedem Endpoint, ob die Grenzen zwischen ihnen wirklich halten.

Wir arbeiten im Grey-Box-Modell, mit Dokumentation und Testkonten, und decken so das reale Berechtigungsmodell ab, nicht nur öffentliche Endpoints. Jede Schwachstelle bestätigen wir mit einer funktionierenden Anfrage und der Serverantwort.

COMPLIANCE

Ein Test, der überall dort gefordert ist, wo die API Daten verarbeitet

API-Sicherheit ist Teil des Risikomanagements und Voraussetzung für die Integration mit Partnern in regulierten Branchen.

DORA / NIS2
Schnittstellentests als Teil des ICT-Risikomanagements.
ISO 27001
Nachweis, dass Maßnahmen wirken (A.8), für Dienste, die Daten verarbeiten.
PCI DSS
Ein erforderlicher Test für Schnittstellen, die Zahlungskartendaten verarbeiten.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
OWASP WSTGPTESNIST SP 800-115
Verifizierungsstandards
OWASP ASVS 5.0.0
Top-10-Listen
OWASP API Security Top 10OWASP Top 10:2025

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein wiederholbarer Prozess nach PTES

01
Scoping
Wir legen Ziel, Umfang und Regeln fest, damit Sie vor dem Start wissen, was wir wann testen.
02
Informationsbeschaffung
Wir kartieren die Angriffsfläche: Assets, Technologien und Einstiegspunkte.
03
Bedrohungsmodellierung
Wir bestimmen, worauf ein echter Angreifer zielt, und priorisieren die gefährlichsten Szenarien.
04
Schwachstellenanalyse
Wir suchen Schwachstellen manuell und verifizieren jede einzelne, um Fehlalarme auszuschließen.
05
Exploitation
Wir bestätigen jede Schwachstelle mit einem belastbaren Nachweis, nicht mit einer bloßen Tool-Warnung.
06
Post-Exploitation
Wir prüfen die tatsächliche Reichweite: Rechteausweitung, laterale Bewegung und Datenzugriff.
07
Bericht und Retest
Sie erhalten einen Bericht mit Priorisierung, und nach der Behebung bestätigen wir, dass die Lücken geschlossen sind.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

API-Penetrationstests in der Praxis

Warum eine API anders getestet wird als eine Webanwendung

Eine API hat keine Benutzeroberfläche, daher werden Autorisierungsfehler leicht übersehen, und zugleich fließen die sensibelsten Daten über APIs. Wir testen REST, GraphQL und gRPC nach den OWASP API Security Top 10, wo das größte Risiko Broken Object Level Authorization ist, also die Möglichkeit, durch Tausch einer Kennung an fremde Objekte zu gelangen.

Anders als bei einer Webanwendung schränken uns keine Bildschirme und Schaltflächen ein. Wir arbeiten direkt an den Endpoints und prüfen jeden auf Berechtigungen, Eingabevalidierung und übermäßige Datenpreisgabe. Ein Scanner sieht hier wenig, weil er den Kontext nicht kennt, also wer worauf Zugriff haben sollte.

Autorisierung auf Objekt- und Funktionsebene

Die zwei häufigsten und gefährlichsten Klassen von API-Fehlern sind die Autorisierung auf Objekt- und auf Funktionsebene. Die erste erlaubt das Lesen oder Ändern einer Ressource eines anderen Nutzers, die zweite das Auslösen einer Operation, die einer höheren Rolle vorbehalten ist. Beide sind von außen unsichtbar und erfordern Tests aus der Perspektive verschiedener Konten.

Deshalb vereinbaren wir mit Ihnen die Rollen und Testkonten und prüfen dann systematisch jede Berechtigungsgrenze. Wir bestätigen nicht nur, dass ein Endpoint existiert, sondern dass er eine Anfrage, zu der das Konto kein Recht hat, korrekt ablehnt.

Warum API-Dokumentation den Test beschleunigt

Eine OpenAPI-Spezifikation oder eine fertige Anfragesammlung erhöht die Abdeckung in derselben Zeit erheblich, weil wir nicht raten müssen, welche Endpoints und Parameter existieren. Je vollständiger das Bild der API-Oberfläche, desto mehr reale Angriffspfade können wir verifizieren, statt blind zu suchen.

Wenn es keine Dokumentation gibt, führen wir den Test trotzdem durch und bilden die API aus dem Anwendungsverkehr und der Verhaltensanalyse ab. Es lohnt sich aber zu wissen, dass gute Dokumentation nicht nur eine Erleichterung für uns ist, sondern direkt mehr Wert des Tests für Sie.

Was Sie im Bericht erhalten

Der Bericht beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und einer konkreten Anfrage, die das Problem reproduziert, damit das Entwicklungsteam sie sofort verifizieren kann. Wir fügen eine Management-Zusammenfassung mit der realen geschäftlichen Auswirkung und nach Risiko geordnete Behebungsprioritäten hinzu.

Nach der Behebung führen wir einen Retest durch und bestätigen, dass die Lücken geschlossen sind. Das ist besonders für eine API wichtig, die oft zwischen einer mobilen App und dem Backend steht, denn ein einziger Autorisierungsfehler kann die Daten aller Nutzer auf einmal offenlegen.

Wann eine API zu testen ist

Wir testen eine API, bevor sie Partnern oder einer Client-Anwendung zugänglich gemacht wird, und nach jeder Vertragsänderung: neuen Endpoints, einer Änderung des Berechtigungsmodells oder einer Migration auf eine neue Version. Jede solche Änderung kann Zugriff öffnen, den es vorher nicht gab.

Für eine öffentlich exponierte API oder eine, die personenbezogene Daten und Zahlungen verarbeitet, empfehlen wir einen regelmäßigen Testzyklus. Zunehmend ist das auch Teil regulatorischer Anforderungen und eine Bedingung für die Zusammenarbeit mit größeren Integratoren.

FAQ

Die häufigsten Fragen

Brauchen Sie API-Dokumentation?

Eine OpenAPI-Spezifikation oder eine Anfragesammlung hilft sehr und lässt uns in derselben Zeit mehr abdecken. Ohne sie testen wir ebenfalls und kartieren die API selbst.

Testen Sie REST und GraphQL?

Ja, und auch gRPC. Jede Technologie hat eigene Fallstricke, die wir im Umfang berücksichtigen.

Wie unterscheidet sich das von einem Scan?

Ein Scan findet einige gängige Fehler. Autorisierungsfehler, die häufigsten und gefährlichsten in APIs, findet nur ein Mensch, der aus verschiedenen Rollen testet.

Ist der Retest inklusive?

Ja. Nach der Behebung testen wir die aufgeführten Fehler erneut und bestätigen, dass sie geschlossen sind.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.