Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Web Application Security

Penetrationstest für
Web-Applikationen.
Keine Schwachstelle unentdeckt.

OWASP Top 10:2021, API Security, Business Logic — OSWA-zertifizierte Experten finden, was automatische Scanner übersehen. Festpreisangebot in 24h.

Erstgespräch vereinbaren OWASP Top 10 ansehen
OWASP Top 10:2021 ISO 27001 Nachtest inkl. OSWA-zertifiziert

Vertrauen führender Unternehmen

Web-App-Pentests durchgeführt
finden kritische Schwachstellen
bis zum Festpreis-Angebot
False Positives im Bericht

OWASP Top 10:2021

Wir testen alle kritischen Schwachstellenklassen

Der OWASP Top 10-Standard definiert die häufigsten und kritischsten Sicherheitsrisiken in Web-Applikationen. Unser Test deckt alle zehn Kategorien vollständig ab — manuell verifiziert, keine False Positives.

A01 Kritisch

Broken Access Control

Wir prüfen Berechtigungsprüfungen auf allen Ebenen: horizontale und vertikale Privilegieneskalation, IDOR, fehlerhafte CORS-Konfiguration und fehlende Zugriffskontrolle auf API-Endpunkten.

A02 Kritisch

Cryptographic Failures

Wir analysieren TLS-Konfiguration, Verschlüsselung sensibler Daten (at rest und in transit), schwache Algorithmen, fehlerhafte Schlüsselgenerierung und ungeschützte Passwort-Speicherung.

A03 Kritisch

Injection

SQL-, NoSQL-, OS-, LDAP- und XPath-Injection. Alle Eingabeparameter werden auf fehlende Validierung und Parametrisierung getestet — in Forms, API-Parametern und HTTP-Headern.

A04 Hoch

Insecure Design

Wir analysieren Architekturentscheidungen auf fehlende Sicherheitskontrollen: unsichere Passwort-Reset-Flows, fehlende Ratenlimitierung und schwache Trennung zwischen Mandanten.

A05 Hoch

Security Misconfiguration

HTTP-Security-Header, Cloud-Storage-Berechtigungen, Debug-Modus in Produktion, unnötige Features und Default-Zugangsdaten. Wir prüfen die gesamte Serverkonfiguration systematisch.

A06 Mittel

Vulnerable Components

Wir inventarisieren alle eingesetzten Bibliotheken, Frameworks und Komponenten und gleichen sie gegen bekannte CVEs ab — inklusive transitiver Abhängigkeiten im Frontend und Backend.

A07 Hoch

Auth Failures

Session-Management, Brute-Force-Schutz, sichere Token-Generierung, MFA-Bypass, Credential Stuffing, fehlerhafte Logout-Implementierung und JWT-Sicherheit werden vollständig geprüft.

A08 Hoch

Software & Data Integrity

Deserialisierungsschwachstellen, unsichere CI/CD-Pipelines, fehlendes Code-Signing und Supply-Chain-Risiken in Abhängigkeiten. Wir prüfen auch Update-Mechanismen auf Manipulierbarkeit.

A09 Mittel

Logging Failures

Wir prüfen, ob sicherheitsrelevante Ereignisse (fehlgeschlagene Logins, Zugriffsversuche auf sensitive Daten) protokolliert und ob Logs vor Manipulation geschützt sind. SIEM-Integration wird bewertet.

A10 Hoch

SSRF

Server-Side Request Forgery: Wir testen, ob Angreifer den Server dazu bringen können, Anfragen an interne Dienste, Metadaten-Endpunkte (AWS IMDS) oder andere interne Systeme zu senden.

Alle zehn Kategorien werden manuell getestet — kein automatisiertes Scanning. Musterbericht anfordern

Methodik

Black-Box, Grey-Box oder White-Box?

Jeder Pentest-Ansatz bildet eine andere Angreifer-Perspektive nach. Wir beraten Sie, welcher Ansatz für Ihren spezifischen Use-Case den größten Mehrwert bietet.

Black-Box-Test

Kein Vorwissen, kein Zugang — unsere Tester starten wie ein externer Angreifer aus dem Internet. Wir führen vollständige Reconnaissance durch und versuchen eigenständig, Zugang zu erlangen.

Geeignet für:

  • Realistische Angreifer-Simulation
  • Externe Angriffsfläche bewerten
  • Compliance-Nachweise (PCI DSS)
Empfohlen

Grey-Box-Test

Wir erhalten Testzugangsdaten und grundlegende Informationen zur Anwendungsarchitektur. Das ermöglicht eine effizientere, tiefere Analyse — mit dem besten Verhältnis aus Abdeckung und Kosten.

Geeignet für:

  • Maximale Abdeckung im Budget
  • Authentifizierte Funktionen testen
  • NIS-2 und DSGVO Art. 32

White-Box-Test

Vollständiger Zugriff auf Quellcode, Architektur-Dokumentation und Konfigurationen. Ermöglicht die tiefste Analyse inklusive Code-Review, Logic-Flaws und konfigurationsbedingter Schwachstellen.

Geeignet für:

  • Tiefste Schwachstellenabdeckung
  • Kritische Eigenentwicklungen
  • Secure Code Review kombiniert

API Pentest

REST- und GraphQL-APIs gezielt testen

Moderne Web-Applikationen sind API-first. Viele Sicherheitslücken entstehen nicht in der Benutzeroberfläche, sondern in den Backend-APIs, die sie antreiben. Wir testen nach der OWASP API Security Top 10.

Authentifizierung & Autorisierung

JWT-Token-Manipulation, OAuth-Flows, fehlerhafte Scope-Überprüfung, API-Key-Leakage in Responses, BOLA (Broken Object Level Authorization) und BFLA (Broken Function Level Authorization).

Rate Limiting & Input Validation

Fehlende Ratenlimitierung (Brute Force auf Login-Endpoints), Mass Assignment, Injection auf Query-Ebene, fehlerhafte Eingabevalidierung in JSON-Payloads und Parameter Pollution.

Business Logic & GraphQL

Testen von Multi-Step-Prozessen (Bestellabläufe, Zahlungsprozesse), Race Conditions, GraphQL-Introspection, Batching Attacks, Query Depth und Field Suggestion Schwachstellen.

OWASP API Security Top 10 — unser Prüfkatalog

  1. API1 Broken Object Level Authorization Kritisch
  2. API2 Broken Authentication Kritisch
  3. API3 Broken Object Property Level Authorization Hoch
  4. API4 Unrestricted Resource Consumption Hoch
  5. API5 Broken Function Level Authorization Hoch
  6. API6 Unrestricted Access to Sensitive Business Flows Mittel
  7. API7 Server-Side Request Forgery Hoch
  8. API8 Security Misconfiguration Hoch
  9. API9 Improper Inventory Management Mittel
  10. API10 Unsafe Consumption of APIs Mittel
API-Pentest anfragen

Was wir in Web-Apps typischerweise finden

Anonymisierte Beispiele aus echten Web-Applikations-Pentests

Critical CVSS 9.8 · A03 Injection

SQL Injection in Suchfunktion ermöglicht vollständige Datenbank-Exfiltration

Durch fehlende Parametrisierung in der Suchanfrage kann ein Angreifer ohne Authentifizierung die gesamte Datenbank auslesen — inklusive Passwort-Hashes, personenbezogener Daten und interner Konfiguration. Reproduziert mit einem einzigen HTTP-Request.

High CVSS 8.1 · A03 Injection

Stored Cross-Site Scripting (XSS) im Kommentarfeld — Session Hijacking möglich

Fehlende Output-Encoding erlaubt das persistente Einschleusen von JavaScript-Code. Betroffen sind alle Nutzer, die den Inhalt aufrufen. Angreifer können Session-Cookies stehlen, Phishing-Inhalte einschleusen oder weitere Angriffe auf andere Nutzer ausführen.

High CVSS 7.5 · A01 Access Control

Insecure Direct Object Reference (IDOR) — Zugriff auf fremde Benutzerdaten

Die API prüft nicht, ob die angefragte Ressource dem authentifizierten Nutzer gehört. Durch einfaches Inkrementieren der ID-Parameter in API-Requests kann ein eingeloggter Nutzer auf Daten beliebiger anderer Nutzer zugreifen.

Medium CVSS 5.4 · A07 Auth Failures

Fehlendes Brute-Force-Schutz am Login-Endpoint — Kontenübernahme durch Credential Stuffing

Der Login-Endpoint ist nicht durch Rate Limiting, Account Lockout oder CAPTCHA geschützt. Angreifer können mit automatisierten Tools bekannte Passwort-Listen auf alle Nutzerkonten anwenden. In Kombination mit öffentlichen Datenlecks erhöht dies das Risiko erheblich.

Durchschnittlich finden wir bei Web-App-Pentests 2–4 kritische Schwachstellen. Muster-Bericht anfordern

Was kostet ein Web-App-Pentest?

Keine versteckten Kosten. Keine Stundensätze. Festpreisangebot in 24 Stunden.

Single-Page-App

ab 5.000 EUR

5–7 Werktage

  • OWASP Top 10
  • Bis zu 3 Nutzerrollen
  • Nachtest inkl.
Beliebt

Komplexe Web-App

ab 8.000 EUR

8–12 Werktage

  • OWASP Top 10 + API Sec.
  • Mehrere Rollen + Workflows
  • Business Logic Testing
  • Nachtest inkl.

Enterprise + API

ab 12.000 EUR

10–15 Werktage

  • Mehrere Microservices
  • REST + GraphQL-APIs
  • SARIF-Output für CI/CD
  • Nachtest inkl.

Individuell

Auf Anfrage

White-Box, Code Review, Retainer

Scope besprechen

Inkl. Management Summary, CVSS-Bewertung und kostenlosem Nachtest. Alle Preise zzgl. MwSt.

Web-App Pentest-Retainer — planbar, regelmäßig, günstiger

Quartalsweise Tests zu reduzierten Konditionen — ideal für Unternehmen, die nach jedem Major Release testen möchten, oder für NIS-2- und PCI-DSS-Compliance.

Retainer-Konditionen anfragen

Compliance

Ihr Web-App-Pentest erfüllt regulatorische Anforderungen

Unser Bericht ist als Compliance-Nachweis konzipiert und deckt die Anforderungen der wichtigsten europäischen Regulierungen ab.

NIS-2 / § 30 BSIG-E

Penetrationsanalysen sind in § 40 Abs. 5 Nr. 3 BSIG-E explizit gefordert. Unser Bericht dokumentiert die Maßnahmen nach Stand der Technik und ist als behördlicher Compliance-Nachweis konzipiert.

DSGVO Art. 32

Art. 32 DSGVO fordert geeignete technische und organisatorische Maßnahmen. Regelmäßige Web-App-Pentests gelten als Stand der Technik und stärken Ihre Rechtsposition bei Datenschutzprüfungen.

PCI DSS Req. 11.4

PCI DSS v4.0 Requirement 11.4 schreibt für Händler und Dienstleister, die Kartendaten verarbeiten, regelmäßige Penetrationstests vor. Unser Bericht entspricht den PCI-DSS-Berichtsanforderungen.

DORA Art. 26/27

Die DORA-Verordnung fordert seit dem 17. Januar 2025 bedrohungsorientierte Penetrationstests (TLPT) für Finanzunternehmen. Unser Vorgehen entspricht den TIBER-DE-Richtlinien der Bundesbank.

Warum AWARE7 für Ihren Web-Pentest

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Unternehmen, die uns vertrauen

Pentesting & Schwachstellenscans

Sill Optics GmbH

Feststellung der Angriffsfläche bei Sill Optics GmbH

Pentesting & Schwachstellenscans

XignSys GmbH

Whitebox-Penetrationstests eines Authentifizierungsdienstes als Mobile- und Web-Anwendung

Pentesting & Schwachstellenscans

TWINSOFT GmbH & Co. KG

Externer Penetrationstest einer iOS-Applikation

In drei Schritten zum Web-App-Pentest

Kein langwieriger Beschaffungsprozess. Sie sprechen mit uns — und wir legen los.

1

Erstgespräch

30 Minuten, kostenlos. Wir klären Scope, Methodik, Rollen und Zeitrahmen Ihrer Web-Applikation.

2

Festpreisangebot in 24h

Verbindlich, transparent, ohne versteckte Kosten. Sie entscheiden in Ruhe — kein Druck.

3

Pentest startet

Unser OSWA-zertifiziertes Team beginnt. Sie erhalten laufende Updates und den Bericht mit Debrief.

Kostenloses Erstgespräch vereinbaren

Häufige Fragen zum Web-App-Pentest

Wir testen alle zehn OWASP Top 10:2021-Kategorien: Broken Access Control, Cryptographic Failures, Injection (SQL, NoSQL, LDAP, OS), Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Authentication and Session Failures, Software and Data Integrity Failures, Logging and Monitoring Failures sowie Server-Side Request Forgery. Zusätzlich prüfen wir Business-Logic-Fehler, die kein automatischer Scanner erkennt: Race Conditions, IDOR, Multi-Step-Prozessfehler und applikationsspezifische Privilegieneskalationsprobleme.
Ein Vulnerability Scanner listet bekannte, technische Schwachstellen auf Basis von CVE-Datenbanken — mit typischerweise 30–70 % False Positives. Unser Pentest geht deutlich weiter: Jede Schwachstelle wird manuell verifiziert und mit einem reproduzierbaren Proof-of-Concept belegt. Wir verketten mehrere Einzelschwachstellen zu realen Angriffspfaden, testen Geschäftslogik-Fehler und finden Schwachstellen, die kein automatisches Tool erkennt — z. B. IDOR bei fehlerhafter Berechtigungsprüfung oder Session-Token-Leakage in JavaScript-Bundles.
Die Dauer richtet sich nach Umfang und Komplexität. Eine Single-Page-Application mit begrenztem Backend dauert in der Regel 5–7 Werktage. Eine komplexe Webanwendung mit mehreren Rollen, komplexen Workflows und umfangreicher API benötigt 8–12 Werktage. Für Enterprise-Anwendungen mit mehreren Microservices und APIs planen wir 10–15 Werktage ein. Im kostenlosen Erstgespräch klären wir den genauen Zeitrahmen, und Sie erhalten innerhalb von 24 Stunden ein verbindliches Festpreisangebot.
Ja, API-Sicherheit ist ein Kernteil unseres Web-App-Pentests. Wir testen REST- und GraphQL-APIs auf: fehlerhafte Authentifizierung und Autorisierung, fehlende Rate-Limiting- und Throttling-Mechanismen, unsichere direkte Objektreferenzen (BOLA/IDOR), excessive data exposure, Mass-Assignment-Schwachstellen, GraphQL-Introspection-Risiken, Injection-Angriffe auf Query-Ebene sowie fehlerhafte Fehlerbehandlung und Information Disclosure. Wir folgen dabei der OWASP API Security Top 10.
Ja. Wir unterstützen sowohl einmalige Pentests als auch regelmäßige Security-Testing-Zyklen im Rahmen eines Retainers. Für DevSecOps-Integration bieten wir strukturierte Findings im SARIF-Format an, das direkt in GitHub Advanced Security, GitLab SAST und Azure DevOps eingebunden werden kann. Wir empfehlen mindestens jährliche Pentests sowie zusätzliche Tests nach größeren Releases oder Architekturänderungen.
Ja. In unserem Pentest-Preis ist immer ein kostenloser Nachtest enthalten. Nachdem Sie die von uns identifizierten Schwachstellen behoben haben, prüfen wir gezielt die Wirksamkeit der umgesetzten Maßnahmen. Das Ergebnis des Nachtests wird im finalen Bericht dokumentiert, sodass Sie gegenüber Auditoren und Behörden nachweisen können, dass alle Findings adressiert wurden.
Beim Black-Box-Test startet unser Tester ohne Vorinformationen — genau wie ein externer Angreifer. Beim Grey-Box-Test erhalten wir Zugangsdaten und grundlegende Informationen zur Anwendungsarchitektur, was eine effizientere Abdeckung ermöglicht. Beim White-Box-Test haben wir vollständigen Zugriff auf Quellcode, Architektur-Dokumentation und Systemkonfigurationen. Für die meisten Web-Applikationen empfehlen wir den Grey-Box-Test, da er das beste Verhältnis aus Abdeckungstiefe und Kosten bietet.
Unser Bericht besteht aus zwei Teilen: dem Management Summary (1–2 Seiten, nicht-technisch, für Geschäftsführung und Aufsichtsgremien) und dem technischen Teil mit allen Findings. Jedes Finding enthält: CVSS 3.1-Score mit Vektor-String, Beschreibung der Schwachstelle, reproduzierbaren Proof-of-Concept mit Screenshots, Angabe der betroffenen Endpunkte und Parameter, konkrete Handlungsempfehlung sowie eine Bewertung des Businessrisikos. Auf Anfrage senden wir Ihnen einen anonymisierten Musterbericht.
Die Vorbereitung ist minimal. Wir benötigen: Testzugangsdaten für alle relevanten Benutzerrollen, die Test-URL oder Zugang zu einer Staging-Umgebung (Produktion ist möglich, wird aber abgestimmt) und ggf. eine kurze Beschreibung der Kernfunktionen. Wir empfehlen, einen vollständigen Snapshot oder ein Backup der Testumgebung zu erstellen. Unser Projektmanagement sendet Ihnen vorab eine strukturierte Checkliste, sodass nichts vergessen wird.
Für NIS-2-betroffene Unternehmen (§ 30 Abs. 1 BSIG-E) sind Penetrationsanalysen explizit in § 40 Abs. 5 Nr. 3 BSIG-E gefordert. Für die DSGVO dokumentiert ein Pentest Ihre technischen und organisatorischen Maßnahmen gem. Art. 32. Für PCI DSS (Payment Card Industry) sind regelmäßige Web-App-Pentests nach Requirement 11.4 vorgeschrieben. Für DORA (Finanzunternehmen) fordert Art. 26/27 bedrohungsorientierte Penetrationstests. Unser Bericht ist so aufgebaut, dass er direkt als Nachweis gegenüber Behörden, Auditoren und Zertifizierungsstellen verwendet werden kann.

Aus dem Blog

Weiterführende Artikel

Ihre Web-Applikation professionell auf Schwachstellen prüfen lassen

97 % aller Web-Apps haben kritische Sicherheitslücken. Finden Sie sie, bevor Angreifer es tun — mit OSWA-zertifizierten Experten und Festpreisgarantie.

Kostenloses Erstgespräch vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

ISO 27001:2022
ISO 9001:2015
BSI Allianz für Cyber-Sicherheit
OSCP · OSWA · OSWP
100% Deutschland

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung