Web Application Pentest: Was angreifbar ist, finden wir zuerst

Moderne Web-Anwendungen kombinieren SPA-Frontends, REST/GraphQL-APIs, Drittanbieter-SDKs und Cloud-Backends — jede Schnittstelle ist ein potenzielles Einfallstor. Unser Web Application Pentest prüft alle Schichten gegen OWASP Top 10, OWASP API Top 10 und stack-spezifische Schwachstellen (Next.js Middleware-Bypass, GraphQL-Introspektion, JWT-Schwächen). Erste Befunde in 3 Minuten, vollständiger audit-bereiter Bericht in Stunden.

Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum Web-Anwendungen das größte Pentest-Risiko sind

Laut dem Verizon DBIR 2024 sind Web-Anwendungen das mit Abstand häufigste Angriffsziel — sie machen 71 % aller untersuchten Sicherheitsvorfälle im Bereich 'External Actors' aus. Der Grund: Web-Apps sind per Definition öffentlich erreichbar, ändern sich häufig (CI/CD-Deployments mehrmals täglich) und integrieren typischerweise 50+ Drittanbieter-Pakete mit unbekanntem Risikoprofil. Klassische jährliche Pentests sind hier strukturell zu langsam — nach einem 12-Monats-Zyklus ist die getestete Version längst überholt. KI-gestützte Pentests können in den CI/CD-Workflow integriert werden und decken Regressionen vor dem Production-Deploy auf.

Web-Apps sind 71 % aller Sicherheitsvorfälle (Verizon DBIR 2024) — höchste Risikodichte pro investiertem Pentest-Euro.
Moderne Frontends (Next.js, React, Vue) bringen neue Schwachstellenklassen: SSR-Injection, Hydration Mismatches, Server Actions-Missbrauch (z.B. CVE-2024-43481 Next.js Middleware Bypass, CVSS 9.1).
GraphQL-APIs sind in 80 % der untersuchten SPAs anfällig für Introspection-Leaks und Query-Depth-Attacken (Sicherheitsforschung Doyensec 2024).
JWT-Implementierungen haben in 34 % aller Web-Pentests mindestens einen schwerwiegenden Befund — schwache Secrets, algorithm-confusion oder fehlende exp-Validierung.
Drittanbieter-Skripte (Stripe, Google Tag Manager, Intercom) öffnen XSS- und Supply-Chain-Risiken — ohne aktuelle CSP-Konfiguration kein Schutz.
Für DORA Art. 24 und NIS2 Art. 21 reicht ein generischer Pentest nicht — die Aufsichtsbehörde verlangt spezifische Tests der 'kritischen Funktion' der Webanwendung.

Was wir in Ihrer Webanwendung testen

OWASP Top 10 (2021): A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A05 Security Misconfiguration, A07 Authentication Failures, A08 Software & Data Integrity
OWASP API Security Top 10 (2023): API1 BOLA, API2 Broken Authentication, API3 Broken Property Level Authorization, API4 Resource Consumption, API5 BFLA
Stack-spezifische Schwachstellen — Next.js Middleware-Bypass (CVE-2024-43481), React Hydration-Attacken, Vue.js SSR-Injection, Angular DOM-XSS
Authentifizierungs-Flows — Login (Brute-Force, Account-Enumeration), Passwort-Reset (Token-Schwächen), OAuth/SAML (open-redirect, state-Parameter), MFA-Bypass
Session-Management — Cookie-Flags, Session-Fixation, Session-Hijacking via CSRF, JWT-Signatur-Schwächen
Autorisierungslogik — IDOR (sequentielle IDs), vertikale Privilegieneskalation, Multi-Tenancy-Lücken (Cross-Tenant-Datenzugriff)
Eingabe-Validierung — SQL-Injection (auch in NoSQL/MongoDB), Stored/Reflected/DOM-XSS, SSRF (gegen interne Cloud-Metadata-Endpunkte), XXE, Command Injection
Geschäftslogik — Race Conditions bei Zahlungsabläufen, Coupon-Stacking, Negativ-Preise, Quota-Bypass, fehlerhafte Workflow-Validierung
Frontend-Konfiguration — CSP-Header (Content-Security-Policy), SRI für Drittanbieter-Skripte, exponierte Source-Maps, hardcoded API-Keys
Software Composition Analysis — npm/yarn/pnpm-Pakete gegen NVD/GHSA, transitive Abhängigkeiten, Lockfile-Drift

Beispiel-Befund

Kritisch

Insecure Direct Object Reference (IDOR) im /api/users/{id}/invoices-Endpunkt

Der API-Endpunkt /api/users/{userId}/invoices akzeptiert beliebige userId-Werte ohne Autorisierungsprüfung. Ein authentifizierter Standard-Benutzer (ID 4711) kann die userId in der URL durch eine andere ID ersetzen (4712, 4713, …) und erhält die vollständigen Rechnungsdaten anderer Kunden — inkl. Name, Adresse, Zahlungsbeträge und IBAN-Anfänge. Wir konnten 12.847 Datensätze fremder Kunden exfiltrieren, bevor wir den Test gestoppt haben.

Behebung: Server-seitige Autorisierungsprüfung in jedem Handler: vergleiche die userId aus dem JWT-Claim (req.user.id) mit der userId im Path-Parameter — bei Mismatch HTTP 403 zurückgeben. Alternativ: vollständig auf path-bezogene Endpunkte umstellen (/api/me/invoices), die immer den aktuellen Benutzer aus dem Token ableiten. Zusätzlich: API-Logging einrichten, das anomale Zugriffsmuster (z.B. >10 verschiedene userIds in 60 Sekunden) automatisch alertet.

Referenz: OWASP API1:2023 Broken Object Level Authorization · CWE-639 Authorization Bypass Through User-Controlled Key · DSGVO Art. 32

Web Application Pentest — Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Pentest-Pakete für Webanwendungen

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum Web Application Pentest

Welche Frameworks und Stacks unterstützt der Matproof Web Application Pentest?

Wir unterstützen alle gängigen Web-Stacks: Next.js (App Router + Pages Router), Nuxt, Remix, SvelteKit, Vue, Angular, klassisches React, Laravel, Django, Rails, Spring Boot, FastAPI, Express/Node.js, ASP.NET. Stack-spezifische Schwachstellen werden automatisch erkannt — z.B. testen wir bei einer Next.js-App spezifisch auf Middleware-Bypass (CVE-2024-43481), Server-Actions-Missbrauch und ISR-Cache-Poisoning. Für seltenere Stacks (Phoenix/Elixir, Go-Fiber, etc.) prüfen wir die generischen OWASP-Kategorien.

Kann der Pentest authentifizierte Bereiche meiner App testen?

Ja, im Starter- und Growth-Plan. Sie hinterlegen einen Test-Account (oder mehrere mit unterschiedlichen Rollen), und unsere KI-Agenten testen automatisch hinter dem Login: Autorisierungs-Logik, IDOR, Multi-Tenancy-Isolierung, Workflow-Bypass. Für komplexe SSO-Flows (Okta, Azure AD, Auth0) konfigurieren wir gemeinsam mit Ihrem Team. Bei kritischen Produktivsystemen empfehlen wir Tests gegen eine identische Staging-Umgebung.

Wie geht der Pentest mit SPAs und JavaScript-rendern Inhalten um?

Unsere Probes parsen das gerenderte DOM (über Headless Chrome), nicht nur den initialen HTML-Response. Damit erfassen wir auch SPA-only Endpunkte, lazy-loaded Komponenten, Dynamic Imports und Routes hinter dem Client-Router. Für GraphQL-APIs prüfen wir Introspection, Query-Depth, Alias-Bombing und schwache Resolver-Autorisierung.

Was passiert mit Ergebnissen bei CI/CD-Integration?

Im Starter-Plan integrieren wir uns in GitHub Actions / GitLab CI / Bitbucket Pipelines. Bei jedem PR oder Merge auf main wird automatisch ein Pentest gegen die Staging-URL gestartet. Critical- oder High-Befunde blockieren den Merge (optional konfigurierbar), Medium-Befunde werden als PR-Kommentar gepostet. Im Growth-Plan zusätzlich: nightly scans gegen Production, Slack/Teams-Alerts bei neuen Befunden.

Welche Compliance-Frameworks deckt der Web App Pentest ab?

Der Bericht enthält explizites Mapping auf: DORA Art. 24 (für Finanzunternehmen), NIS2 Art. 21 (für essenzielle/wichtige Einrichtungen), ISO 27001:2022 A.8.29 (Security Testing in Development) und A.8.8 (Vulnerability Management), BSI IT-Grundschutz APP.3.1 (Webanwendungen), PCI-DSS 11.3 (für Karten-Akzeptanz), HIPAA §164.308(a)(8) (für Healthcare-Apps mit US-Bezug). Für TISAX-Auditierungen wird das Mapping auf VDA ISA-Anforderungen erstellt.

Wie unterscheidet sich der Web App Pentest vom kostenlosen Vorschau-Scan?

Der kostenlose Scan (tools/pentest-scan) ist eine 3-Minuten-Oberflächenprüfung: TLS, Security-Header, DNS, exponierte Pfade, JS-Bundle-Fingerprinting. Er findet typische Konfigurationsfehler. Der vollständige Web Application Pentest geht deutlich tiefer: er testet hinter der Authentifizierung, prüft Geschäftslogik mit kontextuellen Angriffen, deckt Multi-Step-Schwachstellen auf (z.B. 'Coupon-Stacking mit Rabatt-Race-Condition') und liefert einen audit-bereiten Bericht. Außerdem: der Vorschau-Scan macht keine intrusiven Tests; der vollständige Scan tut es (im Rahmen Ihrer Auftragsbestätigung).

Was ist, wenn meine Webanwendung in einer Test-Umgebung läuft?

Empfohlen. Wir testen sehr gerne gegen Staging/Test-Umgebungen, sofern sie funktional identisch mit Produktion sind. Vorteile: keine Auswirkungen auf echte Nutzer, freie Hand bei intrusiven Tests, einfachere Reproduktion von Befunden. Achten Sie nur darauf, dass die Test-Umgebung nicht durch zusätzliche Maßnahmen 'abgeschirmt' ist (z.B. CloudFlare-WAF), die in Produktion nicht aktiv sind — sonst entstehen False Negatives.

Wie schnell kann ich den Pentest starten?

Sofort. Tragen Sie Ihre Domain auf matproof.com/tools/pentest-scan ein — der Vorschau-Scan läuft in 3 Minuten. Für den vollständigen Web App Pentest (€149 einmalig): Kreditkarten-Checkout, Konfiguration in 10 Minuten (Auswahl Domain, optional Test-Account hinterlegen), Scan startet automatisch und liefert in 30–60 Minuten den PDF-Bericht.

Vertiefen — verwandte Artikel aus unserem Blog

Testen Sie Ihre Webanwendung jetzt

Erste Befunde in 3 Minuten — vollständiger Web Application Pentest in 30–60 Minuten. Konform mit DORA, NIS2 und ISO 27001.