API-Penetrationstest

Sicherheitsprüfung von REST, GraphQL und SOAP-APIs — das Rückgrat moderner Software-Architekturen.

APIs sind das unsichtbare Nervensystem moderner IT-Landschaften. Sie verbinden Mobile Apps mit Backends, Microservices untereinander und Partner-Systeme mit Ihrer Plattform. Für Angreifer sind APIs das lohnendste Ziel: kein CAPTCHA, kein JavaScript, nur reine Datenflüsse. Ein API-Pentest von mir deckt unsichere Autorisierung, fehlendes Rate-Limiting, Mass Assignment und Broken Object Level Authorization (BOLA) auf. Ich teste REST, GraphQL, SOAP, gRPC und WebSocket-Schnittstellen – inklusive der oft vergessenen internen und Admin-APIs.

Das Problem

APIs sind für Benutzer unsichtbar, aber für Angreifer das lukrativste Ziel. Fehlendes Rate-Limiting, unsichere Tokens, fehlerhafte Autorisierung (IDOR/BOLA), Mass Assignment und fehlende Input-Validation führen regelmässig zu Massendatendiebstählen. Die OWASP API Top 10 sind nur die Spitze des Eisbergs.

Methodik & Vorgehensweise

1. API Discovery & Documentation Review

Vollständige Erfassung aller API-Endpunkte aus OpenAPI/Swagger, Postman Collections, Traffic-Analyse und Reverse Engineering der Mobile App / SPA.

2. Authentifizierung & Autorisierung

Test von OAuth 2.0, JWT-Sicherheit (Algorithm Confusion, Secret Keys), API-Key-Management, Scope-Escalation und Role-Based Access Control (RBAC).

3. Input Validation & Injection

Prüfung auf SQL Injection, NoSQL Injection, XML External Entity (XXE), Command Injection und Deserialisierungsangriffe in API-Payloads.

4. Business-Logic & Rate-Limiting

Test auf fehlende Rate-Limits, Brute-Force-Möglichkeiten, Mass Assignment, Time-of-Check-Time-of-Use (TOCTOU) und Race Conditions.

5. GraphQL & Spezial-APIs

GraphQL-spezifische Tests: Introspection, Query-Depth, Complexity-Analysis, Batch-Queries. Bei SOAP: XXE und WS-Addressing-Angriffe.

Meine Leistungen im Detail

  • Authentifizierungs- & Autorisierungs-Testing (OAuth 2.0, JWT, API-Keys, mTLS)
  • Rate-Limiting & Input-Validation-Prüfung (SQLi, NoSQLi, XXE, Deserialisierung)
  • IDOR- & BOLA-Testing (Broken Object Level Authorization)
  • GraphQL-spezifische Tests (Introspection, Query-Depth, Complexity) und gRPC/WebSocket

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • OWASP API Security Top 10 (2023)
  • OWASP ASVS für API-Schnittstellen
  • PCI DSS 4.0 (bei Zahlungs-APIs)
  • ISO 27001 Anhang A.14.2.2 (System Change Control)
  • NIS2 / KRITIS (bei kritischen Infrastrukturen)

Branchen & Anwendungsfälle

SaaS & Plattform-Betreiber
Fintechs & Payment-Provider
E-Commerce mit Headless-Architektur
IoT & Smart-Device-Hersteller
Logistik & Supply Chain
Healthcare & MedTech APIs

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen API-Pentest und Web-App-Pentest?

Ein API-Pentest konzentriert sich ausschliesslich auf die Schnittstellen (REST, GraphQL, SOAP, gRPC). Es gibt keine Benutzeroberfläche zu testen – der Fokus liegt auf Autorisierung, Datenvalidierung, Rate-Limiting und Business-Logic der Endpunkte.

Testet ihr auch interne APIs?

Ja, interne und Admin-APIs sind oft unsicherer als öffentliche, da sie weniger überwacht werden. Ich teste sowohl öffentliche als auch interne Microservice-Kommunikation (Grey/White Box).

Wie testet ihr GraphQL-APIs?

Ich prüfe Introspection-Abfragen, Query-Depth-Limits, Complexity-Analysis, Batch-Attacken, Field-Suggestion-Leaks und fehlende Autorisierung auf Feldebene.

Kann ich den API-Pentest in der Produktion durchführen lassen?

In Absprache ja, aber ich empfehle für erste Tests eine Staging-Umgebung. Bei produktiven Systemen nutze ich Read-Only-Techniken und koordiniere ich eng mit Ihrem DevOps-Team.

Wie lange dauert ein API-Pentest?

Ein Standard-API-Pentest dauert 3–7 Arbeitstage, abhängig von der Anzahl der Endpunkte, der Authentifizierungskomplexität und ob GraphQL/gRPC-Schnittstellen involviert sind. Der Report folgt innerhalb von 5 Werktagen.

Was ist der Unterschied zwischen IDOR und BOLA?

IDOR (Insecure Direct Object Reference) und BOLA (Broken Object Level Authorization) beschreiben beide unsichere Zugriffskontrolle auf Objekte. IDOR ist der klassische Begriff für das direkte Manipulieren von Objekt-IDs in URLs/Parametern. BOLA ist der moderne API-spezifische Begriff (OWASP API Top 10 #1) für fehlende Autorisierung auf Objektebene.

Verwandte Leistungen

Web-Application-PentestCloud-Pentest (AWS / Azure / GCP)Penetrationstest (Pentest)Mobile-App-Pentest

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

SaaS-Unternehmen, Fintechs, Plattform-Betreiber und jedes Unternehmen mit API-First-Architektur, Microservices oder öffentlichen Schnittstellen in der DACH-Region.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.