Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

PENETRATIONSTESTS FÜR WEBANWENDUNGEN

Penetrationstests für Webanwendungen: finden Sie die Lücken, bevor es ein anderer tut

Manuelle Tests von Webanwendungen nach OWASP WSTG und ASVS, durchgeführt von Pentestern mit OSCP und OSWA. Wir jagen die Geschäftslogik- und Zugriffskontrollfehler, die ein Scanner übersieht, und beweisen jeden mit einem funktionierenden Exploit.

Tests nach OWASP WSTG und ASVS 5.0.0Geschäftslogik und Zugriffskontrolle, nicht nur ein ScanNachweis und Reproduktionsschritte für jeden FehlerRetest nach Behebung inklusive

WARUM ES WICHTIG IST

Die gefährlichsten Web-Fehler sind die, die Sie im Code nicht sehen

Eine Webanwendung ist rund um die Uhr der Welt ausgesetzt, also prüft ein Angreifer sie zuerst. Die schlimmsten Schwachstellen stammen nicht aus einem einzelnen Codefehler, sondern aus der Logik: wer wessen Daten sehen darf, wer wessen Transaktion freigeben darf, was passiert, wenn man einen Parameter in einer Anfrage ändert.

Aus einem aktuellen Projekt: Das Ändern einer ID in der URL erlaubte es einem Kunden, die Rechnungen eines anderen abzurufen. Der Scanner meldete den Endpoint als in Ordnung, weil er technisch spezifikationskonform antwortete. Erst ein Mensch bemerkte die fehlende Prüfung, ob die Rechnung dem angemeldeten Nutzer gehört.

WAS WIR PRÜFEN

Der volle OWASP-Umfang, nicht nur die Top 10

01
Zugriffskontrolle
IDOR, Rechteausweitung, Zugriff auf Daten und Funktionen anderer Nutzer. Die häufigste Quelle echter Datenlecks.
02
Geschäftslogik
Umgehen von Limits, Manipulation von Preis, Schrittreihenfolge und Transaktionsstatus.
03
Authentifizierung und Sessions
Schwaches Login, Session-Hijacking, Fehler bei Passwort-Reset und MFA.
04
Injection
SQL-, NoSQL-, Command- und Template-Injection, XSS und SSRF mit bestätigtem Nachweis.
05
Konfiguration und Header
Serverfehlkonfiguration, CORS, fehlende Transport- und Header-Schutzmaßnahmen.
06
Datei- und Datenverarbeitung
Unsicherer Upload, Offenlegung sensibler Daten, verwundbare Frontend-Bibliotheken.

Den Umfang passen wir an Stack und Rollen der App an. Wir testen aus der Perspektive verschiedener Berechtigungsstufen.

UNSER ANSATZ

Wir testen von Hand, aus der Sicht eines echten Nutzers und Angreifers

Ein Scanner prüft einzelne Anfragen. Wir melden uns als verschiedene Nutzer an und prüfen, ob die Grenzen zwischen ihnen wirklich halten. Genau dort liegen die Fehler, die am meisten kosten.

Wir arbeiten im Grey-Box-Modell: mit Testkonten und Wissen über die App testen wir breiter und tiefer als ein Angreifer von außen, in derselben Zeit. Jede Schwachstelle bestätigen wir mit einem Nachweis, nicht nur einer Tool-Warnung.

COMPLIANCE

Ein Test, der das Audit und die Kundenanforderung besteht

Tests von Webanwendungen sind regulatorisch ausdrücklich gefordert und zunehmend auch durch Verträge mit Großkunden.

DORA / NIS2
Anwendungssicherheitstests als Teil des ICT-Risikomanagements.
ISO 27001
Nachweis, dass Maßnahmen wirken (A.8), zur Aufrechterhaltung der Zertifizierung.
PCI DSS
Ein erforderlicher Test für Anwendungen, die Zahlungskartendaten verarbeiten.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
OWASP WSTGPTESNIST SP 800-115
Verifizierungsstandards
OWASP ASVS 5.0.0
Top-10-Listen
OWASP Top 10:2025OWASP API Security Top 10

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein wiederholbarer Prozess nach PTES

01
Scoping
Wir legen Ziel, Umfang und Regeln fest, damit Sie vor dem Start wissen, was wir wann testen.
02
Informationsbeschaffung
Wir kartieren die Angriffsfläche: Assets, Technologien und Einstiegspunkte.
03
Bedrohungsmodellierung
Wir bestimmen, worauf ein echter Angreifer zielt, und priorisieren die gefährlichsten Szenarien.
04
Schwachstellenanalyse
Wir suchen Schwachstellen manuell und verifizieren jede einzelne, um Fehlalarme auszuschließen.
05
Exploitation
Wir bestätigen jede Schwachstelle mit einem belastbaren Nachweis, nicht mit einer bloßen Tool-Warnung.
06
Post-Exploitation
Wir prüfen die tatsächliche Reichweite: Rechteausweitung, laterale Bewegung und Datenzugriff.
07
Bericht und Retest
Sie erhalten einen Bericht mit Priorisierung, und nach der Behebung bestätigen wir, dass die Lücken geschlossen sind.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Penetrationstest für Webanwendungen in der Praxis

Was wir in einem Webanwendungstest tatsächlich prüfen

Wir führen einen Webanwendungstest nach OWASP WSTG durch und prüfen nicht nur die klassischen Schwachstellen aus den OWASP Top 10 wie Injection, XSS oder Fehlkonfiguration, sondern vor allem die Geschäftslogik der Anwendung. Dort liegen die Fehler, die kein Scanner versteht, weil sie das Wissen erfordern, was die Anwendung tun soll.

Wir prüfen Authentifizierung und Sitzungsverwaltung, Zugriffskontrolle über Rollen und Konten hinweg, Dateiverarbeitung, API-Integrationen und die Stellen, an denen Nutzereingaben in die Datenbank, den Browser eines anderen Nutzers oder ein externes System gelangen. Jede Schwachstelle bestätigen wir mit einem funktionierenden Nachweis, nicht nur mit einem Tool-Alarm.

Warum Fehler in der Zugriffskontrolle am häufigsten und gefährlichsten sind

Die schwersten Vorfälle in Webanwendungen entstehen selten aus einer exotischen Lücke. Meist ist es Broken Access Control: ein Nutzer sieht die Daten eines anderen Kunden, tauscht eine Kennung in der URL und lädt fremde Rechnungen herunter, oder ein gewöhnliches Konto führt eine Aktion aus, die einem Administrator vorbehalten ist. OWASP setzt diese Kategorie seit Jahren an die Spitze seiner Risikoliste.

Ein Scanner findet diese nicht, denn ihre Bestätigung erfordert das Verständnis der Rollen und Berechtigungen in der Anwendung und den bewussten Versuch, sie zu umgehen. Deshalb testen wir aus der Perspektive verschiedener Konten und Rollen und prüfen jede Berechtigungsgrenze einzeln.

Black-Box oder mit Zugang: wie man das Modell wählt

Wir richten das Testmodell nach dem Ziel. Im Black-Box-Ansatz bilden wir einen anonymen Angreifer aus dem Internet ab, was die Exposition gut zeigt, aber das auslässt, was nach dem Login passiert. Im Ansatz mit Testkonten, also Grey-Box, erreichen wir die Logik, die Nutzern zur Verfügung steht, und finden Autorisierungsfehler, die von außen unsichtbar sind.

Für eine Anwendung mit vielen Rollen und sensiblen Daten empfehlen wir meist Grey-Box, weil es das beste Verhältnis von Abdeckung zu Zeit bietet. Die Testkonten vereinbaren wir beim Scoping, damit der Test die realen Pfade Ihrer Nutzer abbildet.

Was Sie im Bericht erhalten und wie Sie ihn nutzen

Der Bericht enthält jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, damit Ihr Team das Problem bestätigen und sofort mit der Behebung beginnen kann. Dazu fügen wir eine Management-Zusammenfassung hinzu, die die reale geschäftliche Auswirkung ohne Fachjargon erklärt.

Nach der Umsetzung der Korrekturen führen wir einen Retest durch und bestätigen schriftlich, dass die Lücke geschlossen ist. So ist der Bericht nicht nur ein Dokument für die Schublade, sondern eine konkrete Maßnahmenliste mit bestätigter Wirkung, die Sie einem Kunden oder Auditor zeigen können.

Wann eine Webanwendung zu testen ist

Der beste Zeitpunkt ist kurz bevor die Anwendung in den Produktivbetrieb geht, sowie nach jeder wesentlichen Änderung: einer neuen Funktion, einer Integration, einer Änderung am Login oder einer Migration. Jede solche Änderung schafft eine neue Angriffsfläche, die ein früherer Test nicht abgedeckt hat.

Unabhängig von Änderungen empfehlen wir mindestens einen jährlichen Zyklus und einen häufigeren für Anwendungen, die personenbezogene Daten oder Zahlungen verarbeiten. Ein regelmäßiger Test ist auch eine ausdrückliche Anforderung mancher Regulierungen und häufiger Teil der Due Diligence bei Verträgen mit größeren Kunden.

FAQ

Die häufigsten Fragen

Testen Sie auf Produktion oder einer Testumgebung?

Wir bevorzugen eine Testumgebung, die die Produktion abbildet. Testen wir auf Produktion, werden potenziell destruktive Aktionen abgestimmt und in Wartungsfenstern durchgeführt.

Brauchen Sie Konten und Dokumentation?

Im Grey-Box-Modell bitten wir um ein Konto pro Rolle und Basisdokumentation. So prüfen wir in derselben Zeit weit mehr als ein blind arbeitender Angreifer.

Wie unterscheidet sich das von einem DAST-Scan?

Ein DAST-Scan findet einige gängige technische Probleme. Geschäftslogik- und Zugriffskontrollfehler, die häufigste Quelle echter Datenlecks, findet nur ein Mensch.

Ist der Retest inklusive?

Ja. Nach der Behebung testen wir die aufgeführten Fehler erneut und bestätigen schriftlich, dass sie geschlossen sind.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.