Web-Application-Pentest

Prüfung Ihrer Webanwendungen und Portale auf OWASP-Top-10-Risiken, Business-Logic-Fehler und Zero-Day-Potenziale.

Web-Applikationen sind das Hauptangriffsziel für Cyberkriminelle. Ob Kundenportal, E-Commerce-Shop, SaaS-Plattform oder internes CRM – jede Web-App, die Daten verarbeitet, ist ein potenzielles Einfallstor. Mein Web-Application-Pentest prüft Ihre Anwendung nach dem OWASP Testing Guide v4.2 und darüber hinaus. Ich finde nicht nur Standard-Schwachstellen wie SQL Injection und XSS, sondern auch komplexe Business-Logic-Fehler, die automatisierte Scanner niemals erkennen.

Das Problem

Web-Applikationen sind das Haupttor für Datendiebstähle. SQL Injection, Cross-Site Scripting (XSS), IDORs (Insecure Direct Object References), CSRF und unsichere Authentifizierung werden von automatisierten Scannern zu 80 % übersehen. Ein gerooteter Webshop oder ein offenes Admin-Panel kann Millionen an Umsatz und Reputation kosten.

Methodik & Vorgehensweise

1. Mapping & Enumeration

Vollständige Erfassung aller Endpunkte, Parameter, API-Routen, versteckter Funktionen und JavaScript-Bundles. Ich nutze Burp Suite, OWASP ZAP und eigene Tools.

2. Authentifizierungs- & Session-Review

Prüfung von Login-Mechanismen, Passwort-Richtlinien, MFA-Bypass-Möglichkeiten, Session-Fixation und Cookie-Sicherheit.

3. Injection & Input-Validation

Systematische Prüfung auf SQL Injection, NoSQL Injection, Command Injection, SSTI, XPath Injection und XPath-Injection in allen Eingabefeldern.

4. Business-Logic & Workflow

Test auf Preismanipulation, Warenkorb-Manipulation, IDORs, fehlende Autorisierung, Race Conditions und unerwartete Sequenzen im Workflow.

5. Client-Side & API

Prüfung von JavaScript-Sicherheit, DOM-XSS, CORS-Misconfiguration, Content-Security-Policy und aller internen API-Endpunkte inkl. GraphQL.

Meine Leistungen im Detail

  • OWASP Testing Guide v4.2 (alle 120+ Testfälle)
  • Business-Logic-Testing (Preismanipulation, IDORs, Workflow-Bypass)
  • Authentifizierungs- & Session-Management-Review (MFA, OAuth, JWT)
  • API-Testing inklusive REST, GraphQL und SOAP-Endpunkte

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • OWASP ASVS Level 2 / 3
  • OWASP Top 10 (2021) & OWASP API Top 10
  • PCI DSS 4.0 (Web-Anwendungen mit Kreditkartendaten)
  • DSGVO Art. 32 – Technische und organisatorische Massnahmen
  • FINMA-Rundschreiben (bei Finanzdienstleistern)

Branchen & Anwendungsfälle

E-Commerce & Online-Shops
SaaS-Anbieter & Software
Fintechs & Banken
Behörden & Verwaltung
Healthcare-Portale
B2B-Plattformen

Häufig gestellte Fragen (FAQ)

Was ist ein Web-Application-Pentest genau?

Ein Web-Application-Pentest ist eine gezielte Sicherheitsprüfung einer Webanwendung. Ein Ethical Hacker simuliert Angriffe auf Ihre App, um Schwachstellen wie SQL Injection, XSS, IDORs und Business-Logic-Fehler zu finden, bevor echte Angreifer es tun.

Unterscheidet sich ein Web-Pentest von einem API-Pentest?

Ein Web-Pentest konzentriert sich auf die Benutzeroberfläche, die Logik und den Client-Side-Code. Ein API-Pentest fokussiert sich ausschliesslich auf die Schnittstellen hinter der App. Ich empfehle, beide zu testen, da moderne Apps APIs intensiv nutzen.

Testet ihr auch Single-Page-Applications (SPA)?

Ja, ich teste React, Vue, Angular und Svelte-Anwendungen eingehend. Dabei prüfe ich clientseitige Routing, State-Management, API-Kommunikation und die Sicherheit von JavaScript-Bundles.

Wie oft sollte ein Web-Pentest wiederholt werden?

Mindestens einmal jährlich oder nach jedem grösseren Release / Redesign. Bei kritischen Apps oder regulated Industries (FINMA, PCI DSS) empfehle ich halbjährliche Tests.

Brauche ich den Quellcode für den Web-Pentest?

Nicht zwingend. Für Black-Box-Tests reicht die öffentlich zugängliche Anwendung. White-Box-Tests mit Quellcode ermöglichen jedoch eine deutlich höhere Testtiefe und präzisere Findings.

Was ist im Report enthalten?

Jede Schwachstelle wird mit Risikobewertung (CVSS), konkreten Reproduktionsschritten, Screenshots und einem schrittweise Remediation-Guide dokumentiert. Der Report ist für Entwickler und Management verständlich aufbereitet.

Verwandte Leistungen

API-PenetrationstestPenetrationstest (Pentest)Cloud-Pentest (AWS / Azure / GCP)Red Teaming

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

E-Commerce, SaaS-Anbieter, Fintechs, Behörden und jedes Unternehmen mit kundenseitiger Web-Oberfläche oder internen Web-Apps in der DACH-Region.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.