Finanz SaaS (anonym)

Anonyme Finanzplattform: Black-Box-Pentest schließt kritische API-Lücken

40 Stunden, neun verwertbare Findings und ein klarer Maßnahmenplan für Produkt, Compliance und Vertrieb.

40h
Testzeit
9
Verwertbare Findings
4
Persistente XSS
2
Pentester
Branche Finanzdienstleistungen (SaaS)
Scope Web-Frontend & .NET-API
Testtyp Black-Box Pentest
Deliverables Report, Priorisierung, Maßnahmen-Workshop

Projektüberblick

Ein deutscher SaaS-Anbieter für Finanzplanung vertraut uns seit mehreren Jahren kontinuierlich seine Plattform an. Ausgangspunkt war ein reiner Black-Box-Test - heute kombinieren wir Grey-Box-Szenarien, API-Tests und Integrations-Checks für das angeschlossene WooCommerce-Shopsystem. Jedes Release wird vor dem Go-live begleitet; nach größeren Refactorings planen wir zusätzlich fokussierte Retests.

Jährliche Pentests

Festes Testfenster von 40 Stunden pro Release - ergänzt um On-Demand-Checks bei neuen Modulen.

Scope

Java-Backend & React-Frontend, Auth- und Mandantenlogik, REST-API, Zahlungsintegration & WooCommerce.

Team

Zwei Pentester (AppSec & API Spezialist) plus Kunde im Slack-Channel für unmittelbare Abstimmung.

Impact

Schließung kritischer API-Lücken, Hardening des Rollenmodells, sichere Shop-Anbindung für tausende Endkunden. Der Vertrieb erhielt belastbare Nachweise für Ausschreibungen und Auditberichte.

Messbare Verbesserung

Die Anzahl kritischer Findings sank von neun auf zwei in zwölf Monaten - durch frühe Security-Reviews und wiederkehrende Checks der API-Berechtigungen.

Ausgangslage & Zielsetzung

Die Plattform konsolidiert sensible Kundendaten: Depots, Versicherungen, Steuerdokumente. Neue Features - beispielsweise Portfoliomodelle, KI-gestützte Empfehlungen oder Whitelabel-Shops - gehen alle paar Monate live. Neben den regulären Penetrationstests integrieren wir Security-Checks in Refinement-Meetings und Sprint-Demos. Unsere Aufgabe:

  • Mandantentrennung gewährleisten: Kein Zugriff auf fremde Depots oder Dokumente.
  • API-Härtung testen: Sicherstellen, dass Rollen & Berechtigungen serverseitig durchgesetzt werden.
  • Shop-Integration absichern: WooCommerce-Anbindung ohne Session-Fixation & Payment-Leaks.
  • Release-Ready Nachweise: Management-Report, technische Details, sofortige Proof-of-Concepts.

Besonderheit: Der erste Test fand komplett Black-Box statt - inklusive Credential-Phishing und Bruteforce-Abwehr. Inzwischen erhalten wir dedizierte Test-Accounts pro Mandant, um Logikfehler schneller zu identifizieren. Zusätzlich evaluieren wir jedes halbe Jahr neue Sicherheitsanforderungen (z. B. PSD2, BaFin-Rundschreiben) und passen die Testfälle entsprechend an.

Engagement-Setup

Stage-Umgebung

Eigenes Kubernetes-Cluster mit Produktionskonfiguration & anonymisierten Daten. CI/CD deployt Nightly-Builds in diese Stage; WooCommerce läuft auf separatem VM-Stack inklusive Payment-Sandbox.

Accounts & Rollen

Berater-, Mandanten- und Admin-Accounts; Fokus auf unautorisierte Kontextwechsel & Rechteausweitung. Zusätzlich testen wir temporäre Rollen (z. B. Steuerberater) und API-Token für Integrationspartner.

Testing-Mix

OWASP Top 10 for API Security, Logiktests, Payment-Flows, Review von 50+ kritischen Endpunkten & GraphQL-Resolvern. Ergänzt um SAST/SCA-Ergebnisse aus der Pipeline sowie Threat-Modelling-Workshops.

„Hotline zum Dev-Team“

Slack-Channel mit Produkt & Engineering. Kritische Funde werden in unter einer Stunde bewertet, Pull-Requests erhalten Security-Reviews & wir unterstützen direkt bei Fix-Tests.

Herausforderung

Mandantenfähigkeit plus White-Label-Konfiguration bedeutet, dass kleine Änderungen (z. B. Feature-Flags) große Wirkung haben. Deshalb laufen nach jedem Security-Fix automatisierte Regressionstests in Stage.

Ergebnisse auf einen Blick

Beim initialen Pentest entdeckten wir neun verwertbare Schwachstellen. Mit jedem Release sank die Anzahl kritischer Funde - heute dominieren präventiv erkannte Konfigurationsfehler. Die wichtigsten Maßnahmen wurden innerhalb von zwei Wochen produktiv gesetzt; wir bestätigten jedes Update mit Retests und Logging-Checks.

1 Kritisch (IDOR auf Kontodaten)
4 Hoch (Persistente XSS & API-Bypass)
2 Mittel (CSRF, Session-Hardening)
2 Privilegien-Missbrauch
Vom Fund zur Umsetzung

Die finale Workshop-Session endete mit einem priorisierten Maßnahmenplan: serverseitige Validierung, Mandantentrennung auf DB-Ebene, CSP & Input-Sanitizing sowie härtere Rollenprüfungen im Java-Service-Layer. Zusätzlich wurden Monitoring-Dashboards für API-Fehlversuche aufgebaut, damit ungewöhnliche Zugriffe sofort auffallen.

Technische Highlights

IDOR via Mandanten-ID

Manipulation des customerId-Parameters in der REST-API erlaubte Zugriff auf fremde Dokumente - behoben durch serverseitige Ownership-Checks.

Persistente XSS in Reports

Rich-Text-Felder wurden nur clientseitig gefiltert. Einführung einer zentralen Sanitizing-Library verhinderte Script-Injektionen; QA erhielt Test-Cases für gefährliche Payloads.

CSRF-Schutz ergänzt

Mehrere POST-Endpunkte verließen sich auf SameSite-Cookies. Jetzt schützen Token & Double-Submit-Strategie sensible Aktionen; Browser-Integrationstests prüfen die Token-Verarbeitung.

WooCommerce-Härtung

Session-Fixation am Login sowie unsichere Webhooks wurden behoben - Zahlungs-Workflows laufen stabil unter Last. Zusätzlich wurde ein Plugin-Review-Prozess eingeführt.

Credential Exposure

Debug-Endpoints gaben Passwort-Hashes zurück. Feature wurde entfernt, Logging angepasst und Secrets in Vault migriert.

Business Impact

Vertrauen gestärkt

Vertrieb und Kundenservice nutzen die Reports als Nachweis für sichere Zahlungs- und Beratungsprozesse.

Audit-ready

Regulatorische Anforderungen (z. B. BaFin, ISO 27001) werden durch klare Nachweise und Maßnahmenpläne untermauert.

Schnellere Releases

Security-Gates im CI/CD verhindern Hotfixes und beschleunigen Go-Live-Zeiten.

Enablement

Produkt- und Dev-Teams nutzen Security-Guidelines & Playbooks; Sicherheitsbewusstsein steigt messbar.

„Dank der wiederkehrenden Tests wissen wir genau, welche Release-Kandidaten sicher sind. Unser Vertrieb nutzt die Reports als Argument in Ausschreibungen.“
Chief Product Officer (anonymisiert) SaaS-Anbieter für Finanzplanung

Empfehlungen & nächste Schritte

Sicherheit wird als kontinuierlicher Prozess verstanden. Gemeinsam mit dem Kunden haben wir folgende Roadmap definiert:

Top-Empfehlungen

  • Shift-Left-Security: Threat-Modeling und Secure Coding Trainings für jedes Produktteam.
  • Secrets Management: Vollständige Migration aller Credentials in den Vault & automatisches Rotationsverfahren.
  • Monitoring & Alerting: KPI-basierte Dashboards für Authentifizierungsfehler, API-Anomalien und Mandantenverletzungen.
  • Plugin-Governance: Review- und Update-Prozess für WooCommerce- und Marketplace-Erweiterungen.
  • Quarterly Retests: Ergänzende Kurztests bei großen Releases oder regulatorischen Änderungen.
Ähnliche Situation?

Wir unterstützen FinTechs & SaaS-Anbieter beim Aufbau skalierbarer Security-Prozesse. Kontaktieren Sie uns für eine unverbindliche Beratung.

Zurück zur Übersicht
Wir sind für Sie da

Ähnliche Anforderungen?

Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Schnelle Antwort

Wir melden uns innerhalb von 24 Stunden bei Ihnen

Datenschutz

Ihre Daten werden vertraulich behandelt

Persönliche Beratung

Direkter Kontakt zu unseren Experten

Kontaktieren Sie DSecured