Penetrationstest für Webanwendungen

This page is also available in English.
Ein Web Application Penetration Test ist eine manuelle Sicherheitsanalyse einer Webanwendung und ihrer APIs mit Fokus auf die OWASP Top 10: Broken Access Control, Injection, Authentifizierungsfehler und Business-Logik-Schwachstellen.
Schwachstellen in Webanwendungen können sehr problematisch werden. Im schlimmsten Fall wird der komplette Webserver übernommen oder vertrauliche Kundendaten gestohlen. Daher ist es besonders wichtig, diese Anwendungen ausführlich zu testen.
Umfang
Webanwendungen werden auf die wichtigsten Schwachstellenklassen getestet, mit Fokus auf die OWASP Top 10. Dazu zählen:
- Test der Zugriffskontrolle: Broken Access Control, Privilege Escalation, IDOR (Zugriff auf fremde Daten durch Ändern einer ID im Request)
- Authentifizierungs- und Session-Schwachstellen: schwache Passwort-Reset-Abläufe, Session Fixation, JWT-Fehlkonfiguration
- Injection-Angriffe: SQL Injection, Command Injection, SSTI
- Server-Side Request Forgery (SSRF) und unsichere Deserialisierung
- Business-Logik-Schwachstellen: Fehler im Ablauf der Anwendung, die automatisierte Scanner nicht erkennen, etwa das Überspringen eines Bezahl- oder Freigabeschritts
- Fehlkonfigurationen: Security Headers, TLS-Einstellungen, Fehlermeldungen
- Überprüfung von Drittkomponenten: veraltete Libraries, bekannte CVEs
- Implementierung von Defense-in-Depth-Maßnahmen
Android-App-Testing ist auf Anfrage ebenfalls möglich.
Der genaue Testablauf und die getesteten Komponenten werden in einem Scoping-Termin besprochen.
Warum
- Automatisierte Scanner finden die offensichtlichen Probleme. Zugriffskontroll- und Business-Logik-Schwachstellen, also genau die, die tatsächlich zu Datenlecks führen, brauchen einen menschlichen Tester
- Ein einziger IDOR- oder Broken-Access-Control-Bug kann die gesamte Kundendatenbank offenlegen
- Webanwendungen ändern sich laufend. Ein Test ist eine Momentaufnahme der Sicherheit, und regelmäßiges Testen deckt Regressionen durch neue Features auf
Warum VidraSec 🦦
Ich bin seit 2017 in Penetrationstests und Red Teaming tätig, und Webanwendungen gehören zu den häufigsten Einstiegspunkten, die ich teste. Manuelles Testen bedeutet, dass ich die Logik der Anwendung tatsächlich verstehe, statt mich auf Scanner-Signaturen zu verlassen. Genau dort liegen die Schwachstellen, die wirklich zählen.
Typische Dauer
3 bis 5 Tage Testing (abhängig von Größe und Komplexität der Anwendung). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.
Typischer Preis
ab 7.000 €
Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.
Leistungsumfang
Jedes Engagement umfasst:
- Schriftlichen Ergebnisbericht mit allen Schwachstellen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
- Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
- Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
- Nachtest nach Behebung der Schwachstellen auf Anfrage möglich
Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.
Compliance
Relevant für DSGVO (Schutz personenbezogener Kundendaten, die von der Anwendung verarbeitet werden) und ISO 27001.
Häufige Fragen
Ist der Test manuell oder automatisiert?
Er ist überwiegend manuell. Automatisierte Scans unterstützen die Arbeit, aber die Tiefe, insbesondere bei Zugriffskontrolle und Business-Logik-Schwachstellen, entsteht durch manuelles Testen eines erfahrenen Testers. Berichte enthalten kein Scanner-Rauschen.Werden auch APIs und mobile Apps getestet?
Ja. REST- und GraphQL-APIs sind im Scope, und Android-App-Testing ist auf Anfrage möglich. Die genauen Komponenten werden im Scoping-Termin festgelegt.Werden Zugangsdaten oder Quellcode benötigt?
Die meisten Engagements sind Greybox und nutzen gültige Benutzerkonten, um die Bereiche der Anwendung zu erreichen, in denen die interessanten Schwachstellen liegen. Quellcode ist nicht erforderlich, kann für eine tiefere Prüfung aber einbezogen werden.Was kostet ein Web Application Penetration Test?
Ab 7.000 Euro. Der endgültige Preis richtet sich nach Größe und Komplexität der Anwendung und wird individuell auf Basis des Aufwands kalkuliert.Verwandte Dienstleistungen
Zugehörige Blog Posts
- Was kostet ein Penetrationstest?
- Checkliste zur Wahl eines Pentest-Anbieters für KMU in der DACH-Region
- Wie ein NIS2-tauglicher Pentest für ein Unternehmen mit 50 bis 500 Mitarbeitenden aussieht
- Boutique-Pentest (Einzelperson) vs. große Firma vs. PTaaS: Wie du dich entscheidest
martin@vidrasec.com | +43 670 3081275 (öffnet in neuem Tab) | +43 670 3081275 | Termin auswählen (öffnet in neuem Tab) |