Skip to content
CyberXplore - Xplore the Unseen
Penetration Testing

API-Penetrationstests

Sichern Sie die REST-, GraphQL- und SOAP-APIs, die Ihre Apps, Partner und Integrationen antreiben.

Typische Dauer
1-2 weeks
Team
2 senior testers
Bericht
5 business days after testing
Retest
Free, included
API · Repeater
Beispiel · Illustrativ
RequestResponse200 OK· 214 ms
GET/api/orders/1024Send
Host: api.example.com
Authorization: Bearer eyJ…userBtoken ≠ owner
Accept: application/json
replay
HTTP/1.1 200 OK· 214 ms · 1.1 KB
{
"id": 1024,
"customer": "[email protected]"← leaked · not the token owner
"total": "$4,210.00",
"status": "shipped"
}

Broken Object-Level Authorization (BOLA / IDOR) · CWE-639 · CVSS 9.1 - object returned for a user you are not authorized as.

Was ist API-Pentest?

Ein API-Penetrationstest ist eine manuelle Sicherheitsbewertung, bei der zertifizierte Tester Ihre REST-, GraphQL- und SOAP-APIs so angreifen, wie es ein echter Angreifer täte - durch Missbrauch der Autorisierung auf Objekt- und Funktionsebene, fehlerhafte Authentifizierung, übermäßige Datenoffenlegung und Mass Assignment. CyberXplore erfasst jeden Endpunkt, Parameter und jede Rolle und führt anschließend von Senior-Experten geführte manuelle Tests gegen die OWASP API Security Top 10 durch, um Autorisierungs- und Geschäftslogikfehler aufzudecken, die Scanner schlicht nicht erreichen. Sie erhalten priorisierte, entwicklerfertige Handlungsempfehlungen zur Behebung sowie kostenlose Nachtests, um jede Korrektur zu bestätigen.

OWASP API Security Top 10OWASP WSTGPTESNIST SP 800-115

Warum CyberXplore

  • Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
  • Zertifiziert nach ISO 27001 & ISO 9001
  • Kostenloser Retest + Attestierungsschreiben
  • Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden

Warum es wichtig ist

APIs sind heute die dominierende Angriffsfläche - sie legen Daten und Logik direkt offen, und Autorisierungsfehler wie BOLA/IDOR erlauben Angreifern, mit einer einzigen geänderten ID die Datensätze anderer Nutzer zu lesen oder zu verändern.

Übermäßige Datenoffenlegung, Mass Assignment und ausführliche Antworten leaken sensible Felder, die Ihre Oberfläche nie anzeigt, und machen aus einem alltäglichen Endpunkt eine vollständige Datenschutzverletzung.

Automatisierte Scanner können Ihre Objektmodelle, Benutzerrollen oder Geschäftsabläufe nicht verstehen - nur manuelle Tests finden zuverlässig fehlerhafte Autorisierung auf Objekt- und Funktionsebene.

Partner, Kunden und Frameworks wie SOC 2, ISO 27001 und PCI DSS verlangen vor der Integration zunehmend unabhängige Nachweise aus API-Sicherheitstests.

An Branchenstandards ausgerichtet: OWASP API Security Top 10 · OWASP WSTG · PTES · NIST SP 800-115

Unsere Methodik

  1. 01

    Scoping & API-Discovery

    Wir erfassen Ihre OpenAPI-/Swagger-Spezifikationen, GraphQL-Schemas, WSDLs und Postman-Collections, definieren Benutzerrollen und Rules of Engagement und enumerieren jeden Endpunkt, jede Methode und jeden Parameter - einschließlich versteckter, veralteter und Shadow-APIs.

  2. 02

    Authentifizierungs- & Autorisierungstests

    Wir greifen Token-Ausstellung, JWT-/OAuth-Flows, API-Schlüssel und Sitzungsverwaltung an und testen anschließend methodisch BOLA (Objektebene) und BFLA (Funktionsebene) über jede Rolle hinweg, um Rechteausweitung und mandantenübergreifenden Zugriff aufzudecken.

  3. 03

    Manuelle Exploitation

    Wir kombinieren fein abgestimmte Tools mit tiefgehenden manuellen Tests auf Injection, Mass Assignment, übermäßige Datenoffenlegung, SSRF, Missbrauch von Rate Limiting und Ressourcenverbrauch sowie GraphQL-spezifische Probleme wie Introspection, Batching und Nested-Query-DoS.

  4. 04

    Geschäftslogik & Verkettung

    Wir missbrauchen mehrstufige Workflows und verketten einzelne Funde, um reale, konkrete geschäftliche Auswirkungen aufzuzeigen - Kontoübernahme, Datenexfiltration oder finanzielle Manipulation - statt theoretischer Risiken.

  5. 05

    Reporting

    Sie erhalten einen verständlichen Bericht mit CVSS-Schweregrad, betroffenen Endpunkten, rohen Request-/Response-Nachweisen, Reproduktionsschritten und entwicklerfertigen Handlungsempfehlungen, zugeordnet zu den OWASP API Security Top 10.

  6. 06

    Unterstützung bei der Behebung & Nachtest

    Wir begleiten Ihre Entwickler durch die Korrekturen und testen jede Schwachstelle erneut, um zu bestätigen, dass sie behoben ist - kostenlos inklusive, mit einem Behebungs- und Attestierungsschreiben.

Was wir testen

  • REST-, GraphQL- und SOAP-/XML-API-Endpunkte
  • Broken Object Level Authorization (BOLA/IDOR) & mandantenübergreifender Zugriff
  • Broken Function Level Authorization (BFLA) & Rechteausweitung
  • Fehlerhafte Authentifizierung, JWT/OAuth, API-Schlüssel & Sitzungsverwaltung
  • Übermäßige Datenoffenlegung & Leaks sensibler Felder
  • Mass Assignment & Autorisierung auf Objekteigenschaftsebene
  • Injection (SQL, NoSQL, Command) & SSRF über API-Parameter
  • Rate Limiting, Throttling & unbeschränkter Ressourcenverbrauch
  • GraphQL-Introspection, Query-Batching & Nested-Query-DoS
  • Sicherheitsfehlkonfigurationen, CORS, ausführliche Fehler & unzureichendes Inventory-Management

Was Sie erhalten

  • Management Summary für Führungsebene und Stakeholder
  • Detaillierte technische Funde mit CVSS-Schweregrad und Endpunkt-Zuordnung
  • Rohe Request-/Response-Nachweise und Schritt-für-Schritt-Reproduktion
  • Funde, zugeordnet zu den OWASP API Security Top 10
  • Priorisierte, entwicklerfertige Handlungsempfehlungen zur Behebung
  • Kostenloser Nachtest mit Behebungsnachweis (Remediation Verification Letter)
  • Attestierungsschreiben für Kunden, Auditoren und Compliance
Beispiel-Deliverable

Was Sie in Ihrem Bericht sehen

Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.

Findings nach Schweregrad

24 total
Critical
1
High
6
Medium
10
Low
7
Critical · CVSS 9.1CX-204

Broken object-level authorization (BOLA / IDOR)

CWE-639api.example.comOpen
High · CVSS 8.2CX-211

Broken function-level authorization on admin route

CWE-285api.example.comRetested

Illustratives Muster: api penetration test - anonymisiert auf example.com.

Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.

Beispielbericht ansehen

Bereit, den Scope Ihres Projekts festzulegen?

Sagen Sie uns, was getestet werden soll - Sie erhalten innerhalb von 24 Stunden einen maßgeschneiderten Scope und ein Angebot.

Angebot anfordern
Beweise, keine Versprechen

Teams, die mit uns getestet haben

0+
Durchgeführte Sicherheitsprojekte
0+
Gefundene & gemeldete Schwachstellen
0+
Abgesicherte Organisationen
0+
Jahre offensive Expertise

Kumulierte Werte aus der gesamten Projekthistorie unseres Teams

Unter NDA geteilt · Details anonymisiert
CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.
23 critical findings surfaced
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Unter NDA geteilt · Details anonymisiert
Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.
SOC 2 passed first attempt
VP of Engineering
Series B FinTech · Payments platform
FinTech

Zertifizierungen unserer Tester

  • OSCP
  • CRTP
  • CREST
  • CEH
  • eWPTX
  • ISO 27001
  • ISO 9001

Häufig gestellte Fragen

Wir testen REST/JSON, GraphQL, SOAP/XML, gRPC und Webhook-basierte APIs. Wir arbeiten mit Ihren OpenAPI-/Swagger-Spezifikationen, dem GraphQL-Schema, WSDL oder der Postman-Collection - und suchen zudem gezielt nach undokumentierten, veralteten und Shadow-Endpunkten.

Bereit zu sehen, was Angreifer sehen?

Erhalten Sie innerhalb von 24 Stunden einen maßgeschneiderten Scope und ein Angebot. Kein Druck, kein Fachjargon - nur Klarheit über Ihr Risiko.

  • Kostenloser Nachtest für jeden Fix
  • Scope und Angebot innerhalb von 24 Stunden
  • Ausschließlich Senior-Tester
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Angebot anfordern