PENETRATIONSTESTS FÜR WEBANWENDUNGEN
Penetrationstests für Webanwendungen: finden Sie die Lücken, bevor es ein anderer tut
Manuelle Tests von Webanwendungen nach OWASP WSTG und ASVS, durchgeführt von Pentestern mit OSCP und OSWA. Wir jagen die Geschäftslogik- und Zugriffskontrollfehler, die ein Scanner übersieht, und beweisen jeden mit einem funktionierenden Exploit.
WARUM ES WICHTIG IST
Die gefährlichsten Web-Fehler sind die, die Sie im Code nicht sehen
Eine Webanwendung ist rund um die Uhr der Welt ausgesetzt, also prüft ein Angreifer sie zuerst. Die schlimmsten Schwachstellen stammen nicht aus einem einzelnen Codefehler, sondern aus der Logik: wer wessen Daten sehen darf, wer wessen Transaktion freigeben darf, was passiert, wenn man einen Parameter in einer Anfrage ändert.
Aus einem aktuellen Projekt: Das Ändern einer ID in der URL erlaubte es einem Kunden, die Rechnungen eines anderen abzurufen. Der Scanner meldete den Endpoint als in Ordnung, weil er technisch spezifikationskonform antwortete. Erst ein Mensch bemerkte die fehlende Prüfung, ob die Rechnung dem angemeldeten Nutzer gehört.
WAS WIR PRÜFEN
Der volle OWASP-Umfang, nicht nur die Top 10
Den Umfang passen wir an Stack und Rollen der App an. Wir testen aus der Perspektive verschiedener Berechtigungsstufen.
UNSER ANSATZ
Wir testen von Hand, aus der Sicht eines echten Nutzers und Angreifers
Ein Scanner prüft einzelne Anfragen. Wir melden uns als verschiedene Nutzer an und prüfen, ob die Grenzen zwischen ihnen wirklich halten. Genau dort liegen die Fehler, die am meisten kosten.
Wir arbeiten im Grey-Box-Modell: mit Testkonten und Wissen über die App testen wir breiter und tiefer als ein Angreifer von außen, in derselben Zeit. Jede Schwachstelle bestätigen wir mit einem Nachweis, nicht nur einer Tool-Warnung.
COMPLIANCE
Ein Test, der das Audit und die Kundenanforderung besteht
Tests von Webanwendungen sind regulatorisch ausdrücklich gefordert und zunehmend auch durch Verträge mit Großkunden.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Prozess nach PTES
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Penetrationstest für Webanwendungen in der Praxis
Was wir in einem Webanwendungstest tatsächlich prüfen
Wir führen einen Webanwendungstest nach OWASP WSTG durch und prüfen nicht nur die klassischen Schwachstellen aus den OWASP Top 10 wie Injection, XSS oder Fehlkonfiguration, sondern vor allem die Geschäftslogik der Anwendung. Dort liegen die Fehler, die kein Scanner versteht, weil sie das Wissen erfordern, was die Anwendung tun soll.
Wir prüfen Authentifizierung und Sitzungsverwaltung, Zugriffskontrolle über Rollen und Konten hinweg, Dateiverarbeitung, API-Integrationen und die Stellen, an denen Nutzereingaben in die Datenbank, den Browser eines anderen Nutzers oder ein externes System gelangen. Jede Schwachstelle bestätigen wir mit einem funktionierenden Nachweis, nicht nur mit einem Tool-Alarm.
Warum Fehler in der Zugriffskontrolle am häufigsten und gefährlichsten sind
Die schwersten Vorfälle in Webanwendungen entstehen selten aus einer exotischen Lücke. Meist ist es Broken Access Control: ein Nutzer sieht die Daten eines anderen Kunden, tauscht eine Kennung in der URL und lädt fremde Rechnungen herunter, oder ein gewöhnliches Konto führt eine Aktion aus, die einem Administrator vorbehalten ist. OWASP setzt diese Kategorie seit Jahren an die Spitze seiner Risikoliste.
Ein Scanner findet diese nicht, denn ihre Bestätigung erfordert das Verständnis der Rollen und Berechtigungen in der Anwendung und den bewussten Versuch, sie zu umgehen. Deshalb testen wir aus der Perspektive verschiedener Konten und Rollen und prüfen jede Berechtigungsgrenze einzeln.
Black-Box oder mit Zugang: wie man das Modell wählt
Wir richten das Testmodell nach dem Ziel. Im Black-Box-Ansatz bilden wir einen anonymen Angreifer aus dem Internet ab, was die Exposition gut zeigt, aber das auslässt, was nach dem Login passiert. Im Ansatz mit Testkonten, also Grey-Box, erreichen wir die Logik, die Nutzern zur Verfügung steht, und finden Autorisierungsfehler, die von außen unsichtbar sind.
Für eine Anwendung mit vielen Rollen und sensiblen Daten empfehlen wir meist Grey-Box, weil es das beste Verhältnis von Abdeckung zu Zeit bietet. Die Testkonten vereinbaren wir beim Scoping, damit der Test die realen Pfade Ihrer Nutzer abbildet.
Was Sie im Bericht erhalten und wie Sie ihn nutzen
Der Bericht enthält jede Schwachstelle mit Nachweis, CVSS-Bewertung und Reproduktionsschritten, damit Ihr Team das Problem bestätigen und sofort mit der Behebung beginnen kann. Dazu fügen wir eine Management-Zusammenfassung hinzu, die die reale geschäftliche Auswirkung ohne Fachjargon erklärt.
Nach der Umsetzung der Korrekturen führen wir einen Retest durch und bestätigen schriftlich, dass die Lücke geschlossen ist. So ist der Bericht nicht nur ein Dokument für die Schublade, sondern eine konkrete Maßnahmenliste mit bestätigter Wirkung, die Sie einem Kunden oder Auditor zeigen können.
Wann eine Webanwendung zu testen ist
Der beste Zeitpunkt ist kurz bevor die Anwendung in den Produktivbetrieb geht, sowie nach jeder wesentlichen Änderung: einer neuen Funktion, einer Integration, einer Änderung am Login oder einer Migration. Jede solche Änderung schafft eine neue Angriffsfläche, die ein früherer Test nicht abgedeckt hat.
Unabhängig von Änderungen empfehlen wir mindestens einen jährlichen Zyklus und einen häufigeren für Anwendungen, die personenbezogene Daten oder Zahlungen verarbeiten. Ein regelmäßiger Test ist auch eine ausdrückliche Anforderung mancher Regulierungen und häufiger Teil der Due Diligence bei Verträgen mit größeren Kunden.
FAQ
Die häufigsten Fragen
Testen Sie auf Produktion oder einer Testumgebung?
Brauchen Sie Konten und Dokumentation?
Wie unterscheidet sich das von einem DAST-Scan?
Ist der Retest inklusive?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















