Sicherheit für Webanwendungen

Penetrationstests von Webanwendungen

Das Pentesten von Webanwendungen ist unsere Spezialität. Wir finden Sicherheitslücken und Schwachstellen in jeder Website - egal ob SaaS oder Online-Shop.

Unser Web Application Penetrationstest bietet eine gründliche Analyse Ihrer Webanwendungen, um potenzielle Sicherheitslücken aufzudecken. Authentifizierung, Autorisierung, Datenvalidierung und andere kritische Sicherheitsbereiche werden detailliert getestet. Letzteres ist wichtig, weil heutzutage Websites und Webapps das Interface zwischen Nutzer und Server ist - auf letzterem befinden sich die interessanten und sensiblen Daten.

OWASP
Top 10
Frontend
& Backend
100%
Abdeckung
WebApp-Pentest Planer Kontakt Alle Pentests
Schnellnavigation
Pentest-Preis berechnen Was wird getestet? Schwachstellen FAQ
Web Application Penetrationstests
OWASP
Prüfungen
Sicher
Geprüft
Damian Strobel - Geschäftsführer DSecured

Damian Strobel

Geschäftsführer

Meine Empfehlung

Manuelle Tests für komplexe Web-Anwendungen

Web-Anwendungen leben von individuellen Business-Logiken - genau dort setzen wir mit praxisnahen Angriffsszenarien an. Mein Team und ich spiegeln reale Angreifer und geben Ihren Entwicklern klare Hinweise, wie sie Schwachstellen nachhaltig schließen.

Was ist ein Web Application Penetrationstest?

Aus Angreiferperspektive sind Webanwendungen wahnsinnig interessant. Die meisten Websites erlauben einen Login, was bedeutet, dass sich in den Datenbanken Nutzerdaten (PII) befinden werden. Im Fall von Onlineshops oder SaaS-Plattform ist außerdem davon auszugehen, dass Finanzdaten der Nutzer zu finden sein könnten. Für Sie als Betreiber solcher Websites ist es daher wichtig sicherzustellen, dass Ihre Anwendung keine Sicherheitslücken aufweist. Im schlimmsten Fall könnten Angreifer schützenswerte Daten entwenden!

Informationen zu Kosten, Ablauf, Dauer und Arten von Web-Penetrationstests finden Sie etwas weiter unten auf dieser Seite - sie gelten allgemein für jede Art von Penetrationstest unabhängig vom Zielsystem. Für ein aussagekräftiges Ergebnis müssen wir die Zielanwendung in einer vollwertigen Testumgebung mit realistischen Daten erleben. Dazu richten Sie bitte Vertreter aller Benutzerrollen ein und liefern uns passende Szenarien.

Kontrollierte Rollen-Tests

Wir prüfen, wie sich Rechte sauber trennen lassen und ob horizontale oder vertikale Eskalationen möglich sind.

Manuelle Analyse zuerst

Burp Suite, Caido & Co. helfen uns, Anfragen zu manipulieren - doch Entscheidungen treffen erfahrene Pentester.

Gezielte Automatisierung

Automatische Checks setzen wir bewusst ein, z. B. für Path Traversal, Rate Limiting oder schwache Konfigurationen.

Das Ergebnis: ein praxisnaher Bericht mit klaren Prioritäten und konkreten Fix-Empfehlungen - inklusive Retest, sobald Sie Anpassungen umgesetzt haben.

Kostenloses Webapp-Pentest-Angebot anfordern

{{ getCurrentStepTitle() }}

Schritt {{ currentStep + 1 }} von {{ totalSteps }}
Preisschätzung
{{ formatPrice(currentPrice) }}

Vielen Dank für Ihre Anfrage!

Wir werden uns schnellstmöglich bei Ihnen melden.

{{ question.title }}

{{ question.description }}

{{ addon.title }}

{{ addon.description }}

Fast geschafft!

Hinterlassen Sie uns Ihre Kontaktdaten, damit wir Ihnen ein unverbindliches, maßgeschneidertes Angebot zusenden können.

100% unverbindlich
Antwort in 24h
Datenschutz sicher

Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.

Warum sollten wir den Penetrationstest für Ihre Webanwendung durchführen?

Erfahrenes Team

Erfahrenes Team

Profitieren Sie von unserem erfahrenen Team aus Bug Bounty Huntern und ethischen Hackern, die bereits zahlreiche erfolgreiche Webanwendungs-Penetrationstests durchgeführt haben. Für uns sind komplexe Umfangs und abgesicherte Systeme kein Problem und eher Standard.

Herausragender Bericht

Herausragender Bericht

Erhalten Sie detaillierte und verständliche Berichte, die nicht nur Schwachstellen aufzeigen, sondern auch konkrete und umsetzbare Empfehlungen bieten. Unsere Risikobewertung ist realistisch auf Ihren Fall abgestimmt.

Maximale Kreativität

Maximale Kreativität

Unser innovatives Team nutzt kreative und unkonventionelle Ansätze, um selbst die verstecktesten Sicherheitslücken zu identifizieren. Wir kombinieren kleine Fehler zu kritischen Sicherheitslücken, die keiner so erwartet hat.

Effektive Risikominimierung

Effektive Risikominimierung

Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.

Maßgeschneiderte Kommunikation

Maßgeschneiderte Kommunikation

Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!

Langfristige Partnerschaft

Langfristige Partnerschaft

Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Zum Artikel "Kosten"

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Zum Artikel "Frequenz"

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Zum Artikel "Arten"

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Zum Artikel "Ablauf"
Pentest Kosten: Faktor Dauer
Budget & Tiefe

Sparpotenzial bei Penetrationstests von Webanwendungen

Im Fall von Penetrationstests gegen Webapplikationen sind wir relativ flexibel, was die Prüfintensität angeht. Der Grad an Automatisierung und manueller Prüfung kann je nach Wunsch des Kunden angepasst werden. Die folgenden Szenarien sind möglich:

  • 15% manuell / 85% automatisiert Günstig, aber oberflächlich. Der Fokus liegt auf Angriffsvektoren, die sehr häufig Probleme verursachen. Wir nutzen nahezu ausschließlich automatisierte Scans.
  • 50% manuell / 50% automatisiert Moderater Preis, gute Qualität. Hier werden die „interessantesten“ Anfragen manuell analysiert. Alle anderen werden automatisiert geprüft.
  • 85% manuell / 15% automatisiert Teuer, aber sehr gründlich. Jede Anfrage wird detailliert analysiert. Der Fokus liegt auf einem vollständigen manuellen Pentest.
API Penetrationtest vs Web Penetrationstest
Umfang & Abgrenzung

API Penetrationstest vs Web Penetrationstest

Ein API-Penetrationstest ist im Grunde genommen ein Web-Penetrationstest, der sich auf die Schnittstellen konzentriert. Moderne Webanwendenungen sind häufig ein Javascript-Frontend (AngularJS, ReactJS, VueJS), das mit dem Backend über eine API kommuniziert. Das Vorgehen ist im Vergleich zu einem Webapp-Pentest ganz ähnlich. Aufgrund der häufig zur Verfügung stehenden API-Dokumentation (Swagger, OpenAPI, GraphQL) können wir eine API relativ schnell aber gründlich testen.

Relevanz von Web-Frameworks für Pentests
Tech-Stack Know-how

Relevanz von Web-Frameworks für Pentests

Mit dem Siegeszug so genannter Web-Frameworks wie Laravel, Django, Ruby on Rails, Spring Boot (Java) sowie .NET wurde ein Werkzeug geschaffen mit dem es aus Entwicklersicht deutlich schwerer ist, schwere Sicherheitslücken zu produzieren - vorausgesetzt, es wird korrekt verwendet - was nicht immer der Fall ist. Trotzdem stellen wir fest, dass jedes Framework seine „Eigenheiten“ hat, so finden wir bei Laravel-Pentests seltener XSS oder SQL Injections, dafür häufiger Probleme im Bereich Mass Assignment. Java- und ASP-Frameworks haben hingegen öfter Probleme mit Dateiverarbeitung. Ein Pentest ist also auch bei modernen Web-Frameworks sinnvoll.

# Laravel Pentest # Drupal Pentest # Spring Boot Pentest # Symfony Pentest # PHP Pentest # Python Pentest # Java Pentest # ASP.NET Pentest # NodeJs Pentest
Methodik bei Web Application-Pentests
Methodik & Standards

Methodik bei Web Application-Pentests

Der Klassiker, wenn es um Pentest-Methodik in Zusammenhang mit Webapplikationen geht, ist die OWASP Top 10 Liste. Sie beinhaltet die häufigsten Sicherheitslücken, die in Webapplikationen gefunden werden. Das Problem ist: es sind nicht alle. Ein Angreifer ist allgemein sehr kreativ, er kombiniert Sicherheitslücken und macht daraus komplexe Angriffe. So arbeiten wir ebenfalls. Wir arbeiten nicht stupide irgendwelche Listen ab - wir suchen nach Dingen, die für Sie zum Problem werden können - isoliert oder in Kombination. Trotzdem: OWASP (siehe Web Security Testing Guide) sowie BSI (Pentest-Durchführung) sind für uns der absolute Standard.

Sicherheitslücken bei Web App-Pentests

Es gibt diverse Arten von Sicherheitslücken, die in Webapplikationen gefunden werden können. Die Beispiele hier sind echte Beispiele aus vergangenen Penetrationstests. Hier finden Sie die häufigsten:

Cross Site Scripting (XSS)

Ein Angreifer kann HTML-Code in die Websiteausgabe einschleusen. So etwas kann dazu genutzt werden, Daten von anderen Nutzern zu exfiltrieren.

SQL Injection

Dieser Art von Schwachstelle erlaubt es die Inhalte der Datenbank auszulesen. Oft wird hierfür das Tool SQLMap verwendet. Der Angreifer kann so beispeislweise die ganze Nutzerdatenbank herunterladen.

File uploads

Upload-Funktionen erlauben es oft Dateien hochzuladen, die die Übernahme des Servers vereinfachen (Shells). Es ist nicht so trivial Upload-Funktionen sicher zu programmieren.

Server Side Request Forgery

Ein Angreifer kann den Webserver dazu bringen Anfragen an interne Systeme zu senden. Das wird vor allem dann interessant, wenn die Webapp auf z.B. AWS gehostet wird (Stichwort Metadata API).

Insecure Direct Object Reference

Kann ein Angreifer über das Nutzerinterface auch die Nutzerdaten (oder andere Daten) eines anderen Nutzers lesen oder ändern?

Ausgabe sensibler Daten

Untersucht man Anfragen, sieht man oft, dass zu viele und vor allem sensible Daten ausgegeben werden. Das passiert häufig bei eingeloggten Administratoren.

Wie viel kostet ein Penetrationstest für Webanwendungen?

Der Preis hängt von mehreren Faktoren ab - Anzahl der Funktionen, Authentifizierungs-Flows, API-Endpunkte, Benutzerrollen und der gewünschten Testtiefe (Automatisierung vs. manuelle Prüfung) beeinflussen den Aufwand signifikant.

Kurzbewertung

Web-App-Sicherheitskurzcheck

Automatisiert + gezielte manuelle Prüfung

2.500 - 6.000 €
3-5 Testtage
  • OWASP Top 10 Prüfung (automatisiert + manuell)
  • Burp Suite Professional Automatischer Scan
  • Manuelle Prüfung kritischer Funktionen (15-25%)
  • Authentifizierung & Session-Management-Prüfung
  • Input-Validierung (XSS, SQLi, IDOR)
  • Basis API-Sicherheitsprüfung (REST/GraphQL)
  • Bericht mit priorisierten Ergebnissen
  • Umfang: Bis zu 50 Funktionen/Endpunkte
Ideal für: Startups, MVPs, kleine Web-Apps, Compliance-Baseline (ISO 27001, NIS2), Budget-bewusste Projekte
Empfohlen

Umfassender manueller Web-App-Pentest

Tiefgehende manuelle Sicherheitsanalyse

7.500 - 25.000 €
7-16 Testtage
  • Vollständig manuelle Analyse (80-90% manuell)
  • OWASP Top 10 + OWASP ASVS Level 2/3
  • Prüfung der Geschäftslogik & Workflow-Umgehungen
  • Erweiterte Umgehung von Authentifizierungen (OAuth, SAML, JWT)
  • RBAC & Autorisierungs-Matrix-Test (alle Rollen)
  • REST/GraphQL-API Detailanalyse (BOLA, Mass-Assignment)
  • Datei-Upload-Sicherheit & Server-Side-Exploits
  • CSRF, SSRF, XXE, Deserialisierungs-Tests
  • Client-Side-Sicherheit (DOM-XSS, Prototype-Pollution)
  • WebSocket & Echtzeit-Kommunikations-Tests
  • Retest + Management-Zusammenfassung + technische Detailanalyse
  • Umfang: Unbegrenzte Funktionen/Endpunkte
Ideal für: Unternehmens-Web-Apps, SaaS-Plattformen, E-Commerce, Fintech, Gesundheitswesen, Multi-Tenant-Anwendungen
API-fokussiert

Reiner API-Penetrationstest

REST, GraphQL, gRPC, WebSocket-APIs

4.500 - 15.000 €
4-12 Testtage
  • REST-API: BOLA, BFLA, Mass-Assignment-Tests
  • GraphQL: Introspection, Batching, Umgehung von Tiefenlimits
  • Authentifizierung: JWT-Exploits, API-Key-Leaks, OAuth-Flows
  • Autorisierung: Fehlende Function-Level-AC, IDOR in APIs
  • Rate-Limiting & Missbrauchs-Tests
  • API-Schema-Validierung (OpenAPI, Swagger)
  • gRPC & WebSocket-Sicherheitsprüfung
  • Automatisiertes API-Fuzzing + Manuelle Verifikation
  • Umfang: 30-200 Endpunkte je nach Komplexität
Ideal für: Headless-CMS, Mobile-Backends, Microservices, API-First-Architekturen, Integrationsplattformen
Framework-spezifisch

Framework-spezifischer Pentest

Laravel, Django, Spring Boot, .NET, etc.

5.000 - 18.000 €
5-14 Testtage
  • Framework-spezifische Schwachstellen (Mass-Assignment, SSTI)
  • Laravel: Mass-Assignment, Eloquent-Injection, Blade-SSTI
  • Django: ORM-Umgehungen, Template-Injection, Pickle-RCE
  • Spring Boot: SpEL-Injection, Actuator-Exploits, Deserialisierung
  • .NET: ViewState-Manipulation, Deserialisierung, XXE
  • Code-Review-Unterstützung (optionaler Whitebox-Ansatz)
  • Abhängigkeits-Scanning (OWASP Dependency-Check)
  • Vollständige OWASP Top 10 + Framework-Best-Practices
Ideal für: Custom-entwickelte Apps, Framework-basierte Projekte, Whitebox-Pentests mit Code-Zugriff

Umfangsfaktoren: Der Preis richtet sich nach Anzahl der Funktionen/Endpunkte, Benutzerrollen, Authentifizierungs-Flows (OAuth, SAML, MFA), Frontend-Komplexität (SPA vs. serverseitig gerendert), API-Typen (REST, GraphQL, gRPC), Integrationen von Drittanbietern und gewünschter Testtiefe (automatisiert vs. manuell). Bei sehr großen Unternehmensplattformen (500+ Endpunkte, Multi-Tenancy, Microservices) erstellen wir individuelle Angebote.

Automatisierung vs. Manuelle Prüfung

15% manuell

Schwerpunkt Automatisierung: Burp-Suite-Scan plus manuelle Verifikation kritischer Ergebnisse. Gut für Budget-Projekte und schnelle Basis-Analysen.

2.500 - 6.000 €
50% manuell

Ausgewogener Ansatz: Automatisierte Scans für Breite, manuelle Tests für kritische Funktionen. Der optimale Mittelweg zwischen Kosten und Qualität.

5.000 - 12.000 €
85% manuell

Schwerpunkt manuell: Jede Anfrage wird manuell analysiert. Schwachstellen in der Geschäftslogik, komplexe Umgehungen, Race Conditions - maximale Tiefe.

10.000 - 25.000 €
Unverbindliches Angebot anfordern

Wir würden gerne die Sicherheit Ihrer Webanwendung testen.

Angebot anfordern
Vertrauen durch Erfahrung

Einige Unternehmen, denen wir bisher helfen konnten

Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.

Pentest: Dienstleistungen

API Penetrationstest

Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Fragen zum Thema Penetrationstests für Webanwendungen

Wie lange dauert ein typischer Web Application Penetrationstest?

Die Dauer eines Web Application Penetrationstests kann stark variieren, hängt in der Regel aber von der Komplexität und dem Umfang der Anwendung ab. Kleinere Projekte könnte man zügig innerhalb einiger Tage begutachten, bei umfangreicheren Anwendungen sind eventuell Wochen erforderlich.

Welche Arten von Sicherheitslücken können bei einem Web Application Penetrationstest aufgedeckt werden?

Ein WebApp-Pentests hat oft CSRF- und XSS, SQL-Injections, Sicherheitslücken in der Authentifizierung und Session-Management als Resultat. Auch RCE und Code-Injections sowie Konfigurationsfehler sind häufige Funde.

Wie wird der Abschlussbericht eines Web Application Penetrationstests gestaltet?

Der Endbericht eines Web Application Penetrationstests beinhaltet eine Managementzusammenfassung, technische Details der identifizierten Schwachstellen sowie maßgeschneiderte Handlungsempfehlungen. Oberste Priorität liegt auf der Nachvollziehbarkeit von Funden (POC||GTFO) sowie Eliminierung von False Positives.

Welchen Mehrwert bietet ein Pentest für Webanwendungen für mein Unternehmen?

Sie sorgen proaktiv dafür, dass ein Angreifer es deutlich schwerer hat Ihr Projekt zu hacken, Daten zu stehlen oder tiefer ins Unternehmen vorzudringen. Sie minimieren das Risiko eines Cyber-Vorfalls, schlechter PR und enttäuschten Kunden.

Kann ein einziger Pentest sämtliche Probleme einer Anwendung aufzeigen?

Ein guter Penetrationstest sollte alle kritischen Sicherheitslücken aufdecken. IT ist aber deutlich komplexer und es gibt keine Garantie, dass ein einzelner Test alle Schwachstellen identifiziert. IT-Sicherheit ist IMMER ein Prozess und kein einmaliges Projekt. Und dieser Prozess versucht so gut es geht die Wahrscheinlichkeit gehackt zu werden zu minimieren.

Wer führt die Penetrationstests für Webanwendungen durch?

Je nach Ziel und Umfang stellen wir ein kompetentes Team aus erfahrenen Penetrationstestern zusammen. Unsere Experten verfügen über jahrelange Erfahrung und sind in der Lage, auch komplexe Anwendungen zu prüfen. Wir legen großen Wert auf die Qualität unserer Arbeit und die Zufriedenheit unserer Kunden.

Wir sind für Sie da

Web-Pentest anfragen

Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Schnelle Antwort

Wir melden uns innerhalb von 24 Stunden bei Ihnen

Datenschutz

Ihre Daten werden vertraulich behandelt

Persönliche Beratung

Direkter Kontakt zu unseren Experten

Kontaktieren Sie DSecured