API-TESTS
API-Penetrationstests: wo Ihre API mehr preisgibt, als sie sollte
Tests von REST, GraphQL und gRPC nach den OWASP API Security Top 10, durchgeführt von OSCP-zertifizierten Pentestern. Zugriffskontrolle auf Objekt- und Funktionsebene, Autorisierung und übermäßige Datenpreisgabe.
WARUM ES WICHTIG IST
Eine API hat keine Oberfläche, daher werden Autorisierungsfehler leicht übersehen
Mobile und Web-Apps sprechen über APIs mit dem Backend, und zunehmend ist die API selbst das Produkt. Ohne Oberflächenschicht nehmen Sie leicht an, der Client verhalte sich immer korrekt. Ein Angreifer trifft diese Annahme nicht.
Etwas, das wir immer wieder sehen: Das Ändern einer Objekt-ID in einer Anfrage gab die Daten eines anderen Mandanten zurück (BOLA). Der Endpoint funktionierte spezifikationskonform, ihm fehlte nur die Prüfung, ob das Objekt dem Aufrufer gehört. Für eine mandantenfähige App ist das ein direktes Leck zwischen Kunden.
WAS WIR PRÜFEN
Die vollständigen OWASP API Security Top 10
Wir testen REST, GraphQL und gRPC. Den Umfang passen wir an Architektur und Berechtigungsmodell an.
UNSER ANSATZ
Wir testen Autorisierung aus Sicht jeder Rolle und jedes Mandanten
Die meisten kritischen API-Fehler sind Autorisierungsfehler, die in der Dokumentation nicht auftauchen. Wir melden uns als verschiedene Nutzer und Mandanten an und prüfen an jedem Endpoint, ob die Grenzen zwischen ihnen wirklich halten.
Wir arbeiten im Grey-Box-Modell, mit Dokumentation und Testkonten, und decken so das reale Berechtigungsmodell ab, nicht nur öffentliche Endpoints. Jede Schwachstelle bestätigen wir mit einer funktionierenden Anfrage und der Serverantwort.
COMPLIANCE
Ein Test, der überall dort gefordert ist, wo die API Daten verarbeitet
API-Sicherheit ist Teil des Risikomanagements und Voraussetzung für die Integration mit Partnern in regulierten Branchen.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Prozess nach PTES
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
API-Penetrationstests in der Praxis
Warum eine API anders getestet wird als eine Webanwendung
Eine API hat keine Benutzeroberfläche, daher werden Autorisierungsfehler leicht übersehen, und zugleich fließen die sensibelsten Daten über APIs. Wir testen REST, GraphQL und gRPC nach den OWASP API Security Top 10, wo das größte Risiko Broken Object Level Authorization ist, also die Möglichkeit, durch Tausch einer Kennung an fremde Objekte zu gelangen.
Anders als bei einer Webanwendung schränken uns keine Bildschirme und Schaltflächen ein. Wir arbeiten direkt an den Endpoints und prüfen jeden auf Berechtigungen, Eingabevalidierung und übermäßige Datenpreisgabe. Ein Scanner sieht hier wenig, weil er den Kontext nicht kennt, also wer worauf Zugriff haben sollte.
Autorisierung auf Objekt- und Funktionsebene
Die zwei häufigsten und gefährlichsten Klassen von API-Fehlern sind die Autorisierung auf Objekt- und auf Funktionsebene. Die erste erlaubt das Lesen oder Ändern einer Ressource eines anderen Nutzers, die zweite das Auslösen einer Operation, die einer höheren Rolle vorbehalten ist. Beide sind von außen unsichtbar und erfordern Tests aus der Perspektive verschiedener Konten.
Deshalb vereinbaren wir mit Ihnen die Rollen und Testkonten und prüfen dann systematisch jede Berechtigungsgrenze. Wir bestätigen nicht nur, dass ein Endpoint existiert, sondern dass er eine Anfrage, zu der das Konto kein Recht hat, korrekt ablehnt.
Warum API-Dokumentation den Test beschleunigt
Eine OpenAPI-Spezifikation oder eine fertige Anfragesammlung erhöht die Abdeckung in derselben Zeit erheblich, weil wir nicht raten müssen, welche Endpoints und Parameter existieren. Je vollständiger das Bild der API-Oberfläche, desto mehr reale Angriffspfade können wir verifizieren, statt blind zu suchen.
Wenn es keine Dokumentation gibt, führen wir den Test trotzdem durch und bilden die API aus dem Anwendungsverkehr und der Verhaltensanalyse ab. Es lohnt sich aber zu wissen, dass gute Dokumentation nicht nur eine Erleichterung für uns ist, sondern direkt mehr Wert des Tests für Sie.
Was Sie im Bericht erhalten
Der Bericht beschreibt jede Schwachstelle mit Nachweis, CVSS-Bewertung und einer konkreten Anfrage, die das Problem reproduziert, damit das Entwicklungsteam sie sofort verifizieren kann. Wir fügen eine Management-Zusammenfassung mit der realen geschäftlichen Auswirkung und nach Risiko geordnete Behebungsprioritäten hinzu.
Nach der Behebung führen wir einen Retest durch und bestätigen, dass die Lücken geschlossen sind. Das ist besonders für eine API wichtig, die oft zwischen einer mobilen App und dem Backend steht, denn ein einziger Autorisierungsfehler kann die Daten aller Nutzer auf einmal offenlegen.
Wann eine API zu testen ist
Wir testen eine API, bevor sie Partnern oder einer Client-Anwendung zugänglich gemacht wird, und nach jeder Vertragsänderung: neuen Endpoints, einer Änderung des Berechtigungsmodells oder einer Migration auf eine neue Version. Jede solche Änderung kann Zugriff öffnen, den es vorher nicht gab.
Für eine öffentlich exponierte API oder eine, die personenbezogene Daten und Zahlungen verarbeitet, empfehlen wir einen regelmäßigen Testzyklus. Zunehmend ist das auch Teil regulatorischer Anforderungen und eine Bedingung für die Zusammenarbeit mit größeren Integratoren.
FAQ
Die häufigsten Fragen
Brauchen Sie API-Dokumentation?
Testen Sie REST und GraphQL?
Wie unterscheidet sich das von einem Scan?
Ist der Retest inklusive?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















