Webapplikationen und APIs sind oft direkt mit kritischen Daten und Prozessen verbunden. Ein Web-Pentest prüft gezielt, ob unberechtigte Zugriffe, Datenabflüsse oder Manipulationen möglich sind – inklusive Authentisierung, Rollenlogik und typischer Web-Angriffswege.
Typische Ziele
-
Web-Portale, Kunden-/Partner-Logins, Admin-UIs
-
REST/GraphQL APIs und Integrationen
-
Single-Page-Apps + Backend-Services
-
Dateiuploads, Reporting-Funktionen, Export-/Import-Strecken
Was geprüft wird (Auszug)
-
Authentisierung (Login, MFA-Flows, Session-Handling, Token)
-
Autorisierung (Rollen/Rechte, horizontal/vertikal, Mandantentrennung)
-
Eingabevalidierung und Datenverarbeitung (Injection-Klassen, Output-Handling)
-
Business-Logik (Umgehungen, Manipulation von Prozessschritten)
-
Datei- und Content-Funktionen (Upload/Download, Preview, Konvertierung)
-
Security-Header, CORS, Cookie-Settings, TLS und exponierte Admin-Flächen
-
Fehlerbilder, Logging-Hinweise und sicherheitsrelevante Nebenwirkungen
Voraussetzungen
-
definierter Scope (Domains/Endpoints, Rollen, Mandanten, kritische Funktionen)
-
Testaccounts für relevante Rollen (inkl. eingeschränkter und privilegierter Rolle)
-
je nach Setup: kurze Architekturübersicht (Auth, API-Gateway, WAF, SSO)
Ergebnis / Report
-
Management-Summary (Risiken und Prioritaeten)
-
technische Findings mit konkreten Beispielen und Impact-Erklärung
-
Fix-Guidance: kurzfristige Massnahmen und saubere nachhaltige Lösungen
-
optional Re-Test zur Verifikation
Optional: Re-Test
Nach Umsetzung der Massnahmen kann eine fokussierte Nachprüfung erfolgen, um die Wirksamkeit der getroffenen Massnahmen zu bestätigen und Regressionen zu vermeiden.
