Sicherheitstests für APIs

Penetrationstests von API & Schnittstellen

API sind essentiell für die Kommunikation zwischen Anwendungen. Ein API-Pentest hilft Ihnen, Sicherheitslücken zu finden und die Daten Ihrer Kunden zu schützen.

API Penetrationstests sind eine spezialisierte Form von Web-Pentests. APIs sind oft gut dokumentiert, es stehen Spezifikationen zur Verfügung (OpenApi, Swagger, WSDL, etc.), die Angriffsoberfläche ist damit exakt definiert und bestimmte Prozessschritte eines Penetrationstests können übersprungen werden.

REST
& GraphQL
OAuth
& JWT
SOAP
& gRPC
API-Pentest Planer Kontakt Alle Pentests
Schnellnavigation
Pentest-Preis berechnen Was wird getestet? Schwachstellen FAQ
API Penetrationstests
REST API
Prüfungen
Auth
Sicherheit
Damian Strobel - Geschäftsführer DSecured

Damian Strobel

Geschäftsführer

Meine Empfehlung

API-Sicherheit von Design bis Deployment

APIs sind Ihr digitales Rückgrat - und häufig das attraktivste Ziel. Wir analysieren Auth-Flows, Rate-Limits, Business-Logic und dokumentieren, wie Ihr Team Exploits nachhaltig verhindert.

Penetrationstest einer API

Ihre API transportiert Geschäftslogik, Zahlungsflüsse oder Kundendaten. Ein API-Pentest zeigt aus Sicht eines Angreifers, wie sich Endpunkte missbrauchen lassen - und liefert Ihrem Team priorisierte Maßnahmen zur Absicherung.

Wir kombinieren manuelle Tests mit zielgerichteter Automatisierung: Session-Handling, Authentifizierungs- und Autorisierungsmodelle, Idempotenz, Rate-Limits und Input-Validierungen werden konsequent auf Schwachstellen geprüft. Sie erhalten Klarheit, wie robust Ihr Hardening gegenüber realistischen Missbrauchsszenarien wie Account Takeover, Datenabfluss oder Manipulation von Business-Prozessen ist.

Umfang, der zu Ihnen passt

Wir richten Testtiefe und Rollen nach Ihren Use-Cases aus - inkl. Partner-, Mobile- oder Machine-to-Machine-Zugriff. Der Scope wird individuell definiert.

Reale Angriffsabläufe

Von BOLA über IDOR bis zu Missbrauch von Business-Logik - wir dokumentieren jeden Exploit vollständig nachvollziehbar.

Konkrete Handlungsempfehlungen

Jeder Fund enthält Impact, Risiko, Proof-of-Concept und technische Fix-Vorschläge für Ihr Engineering-Team.

Ist ein API Pentest nicht eigentlich ein Web Pentest?

Methodisch nutzen wir denselben Qualitätsanspruch wie beim Web-Pentest - der Fokus verschiebt sich jedoch. Für Sie bedeutet das: Wir analysieren nicht das Frontend, sondern ausschließlich die Schnittstelle, seine Authentifizierung und seine Geschäftslogik. Schwachstellen wirken direkt auf Integrationen, Mobile-Apps oder interne Services; daher simulieren wir sowohl authentifizierte Nutzer als auch externe Angreifer ohne UI.

Häufig kombinieren Kunden Web- und API-Tests in einem Auftrag. Wir helfen Ihnen, Umfang und Prioritäten so zu definieren, dass Ihr Team gezielt an den riskantesten Endpunkten ansetzt und trotzdem Budget und Zeitplan im Blick behält.

Ausgangspunkt eines API-Pentests

Der Einstieg erfolgt über Ihre technische Dokumentation - typischerweise OpenAPI/Swagger, GraphQL-Schemata oder WSDL/SOAP-Beschreibungen. Darauf basierend validieren wir Authentifizierungswege (z. B. OAuth2, API-Keys, mTLS), rollen die wichtigsten Use-Cases aus und vereinbaren Testdaten sowie Rate-Limit-Annahmen.

Kick-off & Zugriff: Sie benennen Ansprechpartner, liefern Spezifikationen und richten Testmandanten samt Tokens oder Zertifikaten ein.

Analyse & Exploitation: Wir durchlaufen Staging oder produktionsnahe Umgebungen, manipulieren Requests und Ausführungswege und halten jede Abweichung mit Screenshots, Traffic-Logs und Payloads fest.

Reporting & Retest: Sie erhalten einen Bericht mit Bewertung nach CVSS, Management Summary und technischem Maßnahmenplan. Nach Fixes verifizieren wir die einzelnen Ergebnisse erneut - ohne Zusatzkosten.

Kostenloses API-Pentest-Angebot anfordern

{{ getCurrentStepTitle() }}

Schritt {{ currentStep + 1 }} von {{ totalSteps }}
Preisschätzung
{{ formatPrice(currentPrice) }}

Vielen Dank für Ihre Anfrage!

Wir werden uns schnellstmöglich bei Ihnen melden.

{{ question.title }}

{{ question.description }}

{{ addon.title }}

{{ addon.description }}

Fast geschafft!

Hinterlassen Sie uns Ihre Kontaktdaten, damit wir Ihnen ein unverbindliches, maßgeschneidertes Angebot zusenden können.

100% unverbindlich
Antwort in 24h
Datenschutz sicher

Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Zum Artikel "Kosten"

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Zum Artikel "Frequenz"

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Zum Artikel "Arten"

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Zum Artikel "Ablauf"
Pentest Kosten: Faktor Dauer
Budget & Umfang

Sparpotential bei API-Penetrationstests

Wir richten die Prüftiefe an Ihrer Risikolandschaft aus. So bleiben APIs mit vielen Endpunkten beherrschbar und Sie investieren dort, wo Angriffe echten Schaden anrichten würden.

  • Kritische Flows priorisieren Wir starten bei Endpunkten mit Personen-, Zahlungs- oder Prozessdaten und planen das manuelle Budget genau für diese Routen ein.
  • Automatisierung gezielt nutzen Routineprüfungen für Auth-Bypässe, Rate Limits oder Schema-Abweichungen laufen automatisiert - Ergebnisse werden anschließend manuell verifiziert.
  • Retests bündeln Fix-Validierungen, kurze Spot-Checks oder zusätzliche Rollen nehmen wir in gebündelten Zeitfenstern vor und senken so Tagessätze.

Gerne bewerten wir Ihre Dokumentation vorab und schlagen einen Mix aus manuellen und automatisierten Checks vor - transparent inkl. Aufwandsschätzung. Weitere Orientierung bietet unser Artikel „Wie viel kostet ein Penetrationstest?“.

Methodik bei API Pentests
Vorgehen & Transparenz

Methodik bei API Pentests

Unsere Methodik verbindet Branchenstandards mit praxisnahen Angriffsszenarien. Sie wissen jederzeit, welche Schritte laufen und welche Ergebnisse bereits vorliegen.

  • Kick-off & Threat-Modeling Wir validieren Umfang, Rollen und Dokumentation (OpenAPI, GraphQL, WSDL) und vereinbaren No-Gos, Testdaten sowie Kommunikationswege.
  • Manuelle Analyse & Exploitation Auf Basis der OWASP API Top 10, BOLA, Business-Logic-Tests und Missbrauch der Autorisierung kombinieren wir Requests, Tokens und Parameter.
  • Reporting & Retest Sie erhalten Priorisierung nach CVSS, PoCs mit Request/Response und konkrete Fix-Empfehlungen. Retests und Abstimmungen sind inklusive.

Details zum generellen Ablauf finden Sie auch in unserer Pentest-Methodik.

Typische API-Sicherheitslücken

Es gibt diverse Arten von Sicherheitslücken, die in APIs gefunden werden können. Die Beispiele hier sind echte Beispiele aus vergangenen Penetrationstests. Hier finden Sie die häufigsten:

Unzureichende Zugriffsrechte

Immer wieder wird in solchen Tests ein Endpunkt gefunden, bei dem die Prüfung der Zugriffsberechtigung komplett vergessen wurde. Solche Fehler lassen sich gut automatisiert finden und später manuell analysieren.

IDOR

Oft reicht ein einfaches Ändern einer Nutzer ID beim HTTP Request, um auf fremde Daten zuzugreifen. Hierbei handelt es sich um eine IDOR-Schwachstelle (Insecure Direct Object Reference).

Cross Site Scripting (XSS)

Auch XSS findet man bei API-Pentests. Das besondere hier ist oft, dass diese im Context eines JS Frameworks ausgegeben werden und die Identifikation manchmal etwas komplexer ist.

Server side request forgery

Der Angreifer kann den Server dazu bringen, Anfragen an andere Server zu senden. Das kann dazu führen, dass der Server interne Informationen preisgibt oder sogar Anfragen an interne Dienste sendet. Solche Funktionen sollten, wenn sie benötigt werden, strikt isoliert werden.

SQL Injections

Der Klassiker - irgendein Parameter wird vom ORM doch nicht so ganz validiert und schon kann ein Angreifer auf die Datenbank zugreifen. Je nach Datenbanksystem kann das schnell zur kompletten Übernahme des Webservers führen. Hier ist besondere Vorsicht geboten.

Undokumentierte Routes

Auch das ist etwas, was wir häufig finden. Entwickler haben eine Route erstellt, diese aber nicht in der Dokumentation aufgeführt. Das ist ein gefundenes Fressen für Angreifer, die so vielleicht auf Funktionen zugreifen können, die eigentlich nicht für sie gedacht sind.

Veraltete Komponenten

Auch hier gibt es Parallelen zum Web-Pentest. Veraltete Komponenten sind ein Einfallstor für Angreifer. Der Klassiker hier ist eine alte Software, die intern Daten nach PDF exportiert oder intern URLs crawled.

Unerwartetes Verhalten führt zu XXE

Die Mehrheit von APIs nutzt JSON zur Kommunikation. Hierbei kann es zu unerwartetem Verhalten kommen, wenn man beispielsweise die Applikation dazu zwinge eine XML entgegen zu nehmen.

Dateiverarbeitung ohne Prüfung

Upload/Download/Verarbeitung von Dateien sieht man fast immer in Webanwendungen. Die Daten werden an die API geschickt und dort nicht korrekt geprüft. Das Ergebnis kann vielfältig sein - im negativen Sinne.

Wie viel kostet ein API Penetrationstest?

Der Preis richtet sich nach Anzahl der Endpunkte, API-Typen (REST, GraphQL, gRPC), Komplexität der Authentifizierung, Rollen-Matrix und gewünschter Testtiefe. OpenAPI/Swagger-Dokumentation senkt den Aufwand signifikant.

Kurzscan

API-Sicherheitskurzcheck

Automatisiert + manuelle Überprüfung

2.000 - 5.000 €
2-4 Testtage
  • Prüfung der OWASP API Top 10
  • Automatisiertes API-Fuzzing (Burp/Custom-Scanner)
  • OpenAPI/Swagger Schema-Validierung
  • Basis-Authentifizierung & Autorisierungsprüfung
  • Rate-Limiting & Input-Validierung
  • BOLA (IDOR) Erkennung (automatisiert)
  • Manuelle Verifikation kritischer Ergebnisse (20%)
  • Umfang: Bis zu 30 Endpunkte, 1-2 Rollen
Ideal für: MVP-APIs, kleine Microservices, Compliance-Baseline, Budget-Projekte
Empfohlen

Umfassender manueller API-Pentest

Tiefgehende manuelle API-Sicherheitsanalyse

6.000 - 20.000 €
5-15 Testtage
  • Vollständig manuelle Analyse (70-85% manuell)
  • OWASP API Top 10 + Business-Logic-Prüfung
  • BOLA/BFLA (IDOR + Function-Level-Autorisierung)
  • Mass-Assignment & Parameter-Pollution-Tests
  • Erweiterte Authentifizierung (JWT, OAuth 2.0, API-Keys)
  • Autorisierungs-Matrix-Test (alle Rollen kombiniert)
  • Rate-Limiting-Bypasses & API-Missbrauchsszenarien
  • SSRF, XXE, Injection-Angriffe (SQL, NoSQL, Command)
  • Datei-Upload/Download-Sicherheit
  • Undokumentierte Endpunkte aufspüren
  • Retest + Management-Zusammenfassung + technischer Bericht
  • Umfang: 30-200 Endpunkte, mehrere Rollen
Ideal für: Production-APIs, SaaS-Backends, Mobile-Backends, Enterprise-Microservices
GraphQL-fokussiert

GraphQL-Sicherheitsanalyse

Spezialisiert auf GraphQL-APIs

5.000 - 15.000 €
4-10 Testtage
  • GraphQL-Introspection & Schema-Erkennung
  • Query-Tiefe & Komplexitätslimit-Bypasses
  • Batch-Query-Exploits & N+1-Query-Angriffe
  • Field-Level-Autorisierungsprüfung
  • Mutation-Missbrauch & Subscription-Sicherheit
  • Directive-Injection & Alias-Missbrauch
  • BOLA/IDOR in GraphQL-Abfragen
  • Rate-Limiting & Cost-Analysis-Bypasses
  • Umfang: GraphQL-Schema mit mehreren Resolvers
Ideal für: GraphQL-First-APIs, Headless-CMS (Strapi, Contentful), Apollo-Server, Hasura
Multi-Protocol

Multi-Protokoll API-Test

REST + GraphQL + gRPC + WebSocket

8.000 - 30.000 €
7-20 Testtage
  • REST-API: Vollständige OWASP API Top 10 Abdeckung
  • GraphQL: Schema-Erkennung, Batching, Tiefenlimits
  • gRPC: Protobuf-Parsing, Reflection-API-Missbrauch
  • WebSocket: Connection-Hijacking, Message-Injection
  • Protokollübergreifende Angriffe & API-Gateway-Bypasses
  • Microservices-Kommunikationstests
  • Service-Mesh-Sicherheit (Istio, Linkerd)
  • API-Gateway-Konfigurationsprüfung (Kong, Apigee)
  • Umfang: Komplexe Microservices-Architekturen
Ideal für: Enterprise-Microservices, Cloud-Native-Platforms, Multi-Protocol-Backends

Umfang-Faktoren: Der Preis richtet sich nach Anzahl der Endpunkte, API-Typen (REST, GraphQL, gRPC, SOAP), Authentication-Complexity (Basic, JWT, OAuth 2.0, SAML), Anzahl User-Roles, Dokumentationsqualität (OpenAPI/Swagger reduziert Aufwand um 20-30%), Third-Party-Integrations und Microservices-Complexity. Bei sehr großen API-Gateways (500+ Endpunkte, Multi-Region) erstellen wir individuelle Angebote.

Endpoint-basierte Preisgestaltung

1-30 Endpunkte

Kleine API: Fokussierter Umfang, perfekt für MVPs, Single-Service-APIs oder Prototypen. Schnelle Durchlaufzeit möglich.

2.000 - 6.000 €
30-100 Endpunkte

Mittlere API: Typischer Produktiv-Umfang mit mehreren Ressourcen, CRUD-Operationen und unterschiedlichen Rollen. Ausgewogener Ansatz.

6.000 - 15.000 €
100+ Endpunkte

Große API: Enterprise-Microservices, komplexe API-Gateways oder Multi-Protokoll-Setups. Erfordert erweiterte Planung.

15.000 - 30.000 €

Tipp: OpenAPI/Swagger-Dokumentation senkt den Aufwand um 20-30%, da wir Endpunkte nicht manuell discovern müssen. GraphQL-Introspection ermöglicht schnellere Schema-Analyse. Postman-Collections oder HAR-Files beschleunigen das Testing ebenfalls.

Unverbindliches Angebot anfordern

Wir finden in jeder API Schwachstellen - die Frage ist nur, wie schwerwiegend diese sind.

Angebot anfordern
Vertrauen durch Erfahrung

Einige Unternehmen, denen wir bisher helfen konnten

Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.

Pentest: Dienstleistungen

Web Application Penetrationstest

Große Teile des Internets basieren auf Websites und Webapplikationen.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Weitere Fragen samt Antworten zum Thema
"API Penetrationstest"

Wie sollte sich mein Team vorbereiten, bevor wir den API Penetrationstest starten?

Aus Tester-Perspektive wollen wir soviel wie möglich über Ihre API wissen. Dokumentationen, speziell so etwas, wie die SwaggerAPI-json, wsdl oder ähnliches helfen uns dabei, die API besser zu verstehen. Auch Informationen über die genutzten Technologien und Frameworks sind hilfreich, um die Effektivität des Tests zu steigern.

Was sind typische Sicherheitslücken, die bei einem API Penetrationstest aufgedeckt werden?

API Penetrationstests setzen den Fokus auf die klassischen Web-Sicherheitslücken. Wir sehen immer wieder SQL-Injections, IDOR und Code Injections. Im Grunde ist aber alles möglich - je nachdem, was Sinn und Zweck der API ist.

Wie lange dauert ein durchschnittlicher API Penetrationstest?

Die Dauer eines API-Tests hängt von der Anzahl an Endpunkten, Parametern und allgemein der Komplexität der API ab. Die meisten Tests können innerhalb 1 Woche abgeschlossen werden. 2-3 Wochen wären aber auch nicht unüblich.

Kann ein API Penetrationstest meine laufenden Dienste beeinträchtigten?

Im Normalfall nicht, da wir größtenteils in einer isolierten Testumgebung oder zu vorher festgelegten Zeitfenstern mit niedriger Auslastung arbeiten, um Unterbrechungen zu vermeiden. Wir kommunizieren eng mit Ihrem IT-Team, um Down-Times etc. zu verhindern. Vorbereitung auf so einen API-Pentest ist jedoch immer ratsam.

Welche Tools und Techniken werden häufig bei Sicherheitsprüfungen von APIs verwendet?

Im Fall von API-Pentests ist das Tooling hauptsächlich Burp Suite in einer Kombination mit eigenen Software-Paketen, die beispielsweise darauf abzielen den Import von Definitions-Dateien zu erleichtern. Allgemein ist ein API Pentest aber immer ein manueller Pentest, bei dem sich ein Mensch jede Route und alle Parameter anschaut.

Erhalten wir einen Bericht nach dem Abschluss des Sicherheitschecks der API?

Selbstverständlich - ein finaler Bericht ist der Abschluss eines Pentest-Projekts. Dieser enthält alle gefundenen Schwachstellen, deren Risikoeinschätzung und Empfehlungen zur Behebung. Wir stehen Ihnen auch nach dem Test für Fragen zur Verfügung.

Wie oft sollte ein Sicherheitstest für APIs durchgeführt werden?

Klare Empfehlung: So oft, wie es Sinn macht - beispielsweise bei Launch, Relaunch, signifikanten Änderungen im Code, Serverumzügen oder Änderungen in der API-Struktur. Die meisten Kunden testen ihre API ein Mal pro Jahr. Wir empfehlen hierfür eher so etwas, wie Pentest as a Service, um punktuell eingreifen zu können.

Wir sind für Sie da

API Pentest anfragen

Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Schnelle Antwort

Wir melden uns innerhalb von 24 Stunden bei Ihnen

Datenschutz

Ihre Daten werden vertraulich behandelt

Persönliche Beratung

Direkter Kontakt zu unseren Experten

Kontaktieren Sie DSecured