Typische Findings in Web-Penetrationstests

Eine konsolidierte Analyse realer Schwachstellen aus Web- und API-Pentests

Die binsec GmbH hat die Ergebnisse aller durchgeführten Web-Penetrationstests (inklusive angebundener APIs) der vergangenen zwölf Monate konsolidiert. Die Daten zeigen deutlich, in welchen Bereichen Schwachstellen am häufigsten auftreten.

Ein erheblicher Anteil der Findings betrifft grundlegende Konfigurationsschwächen, beispielsweise unsichere Webserver-Defaults, fehlende Security-Header oder unzureichend konfigurierte TLS-Parameter. Diese Schwachstellen sind technisch leicht identifizierbar und stellen häufig kein unmittelbares kritisches Risiko dar.

Fehler im Session-Handling treten weiterhin regelmäßig auf. Ein übliches Muster ist das Löschen der Session ausschließlich im Browser, während die serverseitige Session bestehen bleibt. Dies ermöglicht die Weiterverwendung einer zuvor kompromittierten Session.

Die Mehrheit der kritischen Findings entfällt auf unvollständige oder fehlerhafte Zugriffskontrollen. Dazu zählen Privilegieneskalationen, fehlende Objekt- oder Tenant-Isolation sowie unzureichend geschützte API-Endpunkte. Besonders in modernen Anwendungen mit intensiver API-Kommunikation zeigen sich hier Lücken, da Zugriffskontrollen oft manuell implementiert werden müssen.

SQL-Injection und Cross-Site Scripting (XSS) treten seltener auf, sind aber weiterhin präsent – insbesondere in Bereichen, in denen Schutzmechanismen wie ORMs, Validierungen oder Prepared Statements umgangen oder nicht konsequent genutzt werden.

Business-Logic-Schwachstellen werden vergleichsweise selten festgestellt. Treten sie auf, sind die Auswirkungen jedoch meist erheblich, da sie direkt in geschäftskritische Abläufe eingreifen.