Web & API Security
Tools für Web-Anwendungs- und API-Sicherheitstests. Von Proxy-basierten Analysen bis zu automatisierten Scannern.
Typische Prüfbereiche
Authentication & Authorization
Login-Mechanismen, Session-Management, RBAC, JWT-Validation, OAuth-Flows
Input Validation
XSS, SQL Injection, Command Injection, Path Traversal, XXE
API Security
REST/GraphQL-Endpoints, Rate-Limiting, API-Keys, CORS, Content-Type-Validation
Business Logic
Workflow-Manipulation, Race Conditions, Price-Tampering, Privilege-Escalation
Session & State
Cookie-Security, CSRF-Protection, Session-Fixation, Logout-Funktionalität
Misconfigurations
Debug-Modi, Exposed Admin-Panels, Directory-Listing, Sensitive-Data-Exposure
Tools (6)
Alle Tools sind für autorisierte Sicherheitsprüfungen konzipiert und erfordern eine schriftliche Freigabe.
Burp Suite
FortgeschrittenIntercepting-Proxy zur manuellen Analyse von Web-Requests und API-Aufrufen
Hauptfunktionen:
- •Request/Response-Analyse
- •Session-Management-Prüfung
- •Parameter-Manipulation
Typische Verwendung:
- →Setzen als Browser-Proxy zur Verkehrsmitschrift
- →Manuelle Analyse kritischer Funktionen (Login, Checkout, Admin-Bereiche)
Artefakte:
Hinweise:
Nur auf definierten Test-Umgebungen einsetzen
OWASP ZAP
EinsteigerOpen-Source Web Application Security Scanner mit Proxy-Funktionalität
Hauptfunktionen:
- •Automatisiertes Crawling
- •Passive Schwachstellen-Analyse
- •Active Scanning (kontrolliert)
Typische Verwendung:
- →Baseline-Scan für initiale Übersicht
- →Passive Analyse während manuellem Testing
Artefakte:
Hinweise:
Active Scans nur nach Freigabe
Nuclei
FortgeschrittenTemplate-basierter Schwachstellen-Scanner für schnelle Checks bekannter Issues
Hauptfunktionen:
- •CVE-Checks
- •Misconfiguration-Detection
- •Exposed-Panel-Suche
Typische Verwendung:
- →Initiales Scanning auf bekannte Schwachstellen
- →Regelmäßige Baseline-Checks
Artefakte:
Hinweise:
Rate-Limits konfigurieren
feroxbuster
EinsteigerRekursiver Content-Discovery-Scanner für versteckte Pfade und Dateien
Hauptfunktionen:
- •Directory/File Enumeration
- •Rekursive Suche
- •Multi-Threading
Typische Verwendung:
- →Asset-Inventarisierung
- →Aufdecken vergessener Admin-Panels oder Backup-Files
Artefakte:
Hinweise:
Request-Rate begrenzen
WhatWeb
EinsteigerFingerprinting-Tool zur Identifikation von Web-Technologien
Hauptfunktionen:
- •CMS-Erkennung
- •Framework-Detection
- •Server-Fingerprinting
Typische Verwendung:
- →Initiale Tech-Stack-Analyse
- →Versionserkennung für CVE-Research
Artefakte:
Hinweise:
Non-invasiv
SQLmap
ExperteSQL-Injection-Detection und -Exploitation (nur zur Verifikation)
Hauptfunktionen:
- •Automatische SQLi-Detection
- •DBMS-Fingerprinting
- •Proof-of-Concept für Datenzugriff
Typische Verwendung:
- →Nur nach manueller Identifikation eines Verdachts
- →Verifikation mit minimalem Zugriff
Artefakte:
Hinweise:
NUR mit expliziter Freigabe
Typische Deliverables
- 📄Strukturierter Pentest-Report mit priorisierten Findings
- 📸Screenshots und Request/Response-Beispiele als Evidenz
- 🎯Risiko-Matrix mit Business-Impact-Bewertung
- 🔧Konkrete Remediation-Empfehlungen mit Code-Beispielen
- 📊Executive Summary für Management
Empfohlener Einstieg (für Anfänger)
- 1.Starten Sie mit OWASP ZAP für einen automatisierten Baseline-Scan
- 2.Nutzen Sie WhatWeb für die Tech-Stack-Identifikation
- 3.Führen Sie mit feroxbuster eine Content-Discovery durch
- 4.Setzen Sie Burp Suite für die manuelle Analyse kritischer Funktionen ein
- 5.Verwenden Sie Nuclei für schnelle CVE-Checks