WEB APPLICATION TESTS
Manuelles Testen,wo Scanneraufhören.
Web Application Tests decken Angriffe ab, die automatisierte Werkzeuge prinzipbedingt verfehlen: Business-Logik, kaskadierende Autorisierungsfehler, tokenbasierte Auth, GraphQL-Introspektion und die typischen SSR- und Dependency-Fallen moderner JavaScript-Stacks.
01 · TESTGEGENSTAND
OWASP Top 10, API Top 10 und was darüber hinaus zählt.
Wir prüfen klassische Single-Page-Anwendungen, klassische serverseitig gerenderte Portale, REST- und GraphQL-APIs sowie Microservice-Gateways. Grundlage sind OWASP Web Security Testing Guide und OWASP API Top 10, ergänzt um unsere eigene Test-Baseline für SSR-Frameworks wie Next.js, Nuxt und Remix.
02 · TYPISCHE BEFUNDE
Was wir in echten Anwendungen finden.
Access-Control-Brüche mit IDOR und fehlender serverseitiger Autorisierung auf REST- und GraphQL-Resolvern. JWT-Fehlkonfigurationen mit none-Algorithmus, schwachen Schlüsseln oder fehlender Signaturprüfung. SSRF gegen interne Cloud-Metadatendienste. Reflektiertes und DOM-basiertes XSS trotz Framework-Escaping. Prototype Pollution und Dependency Confusion in npm-Workspaces. Server-Side Template Injection und unsichere Deserialisierung. Cache-Poisoning über vergessene Header.
03 · AUTH & SESSION
Authentisierung, Session und Multi-Tenant.
Wir betrachten Anmeldeflüsse, MFA-Umgehung, Passwort-Reset, OAuth- und OIDC-Redirect-Handling, Session-Fixation, Cookie-Attribute, CSRF-Schutz und die horizontale wie vertikale Isolation zwischen Tenants. Gerade Multi-Tenant-Anwendungen mit geteilter Datenbank sind ein konstanter Fundort für fehlende Mandantenfilter.
READY
Ein Web-Test, der Entwicklern weiterhilft.
Wir liefern reproduzierbare Proof-of-Concepts, konkrete Code-Empfehlungen und arbeiten eng mit Ihrem Entwicklungsteam. Kein generisches Boilerplate.