31 Findings vor dem Enterprise-Launch.
Ein Software-Haus wollte seine SaaS-Plattform vor dem Enterprise-Rollout prüfen lassen. In drei Wochen Grey-Box-Pentest fanden wir 31 Schwachstellen – zwei davon kritisch. Nach den Fixes waren alle Critical- und High-Findings geschlossen.
Kein Kunde hat es verlangt. Sie wollten es selbst wissen.
Der Kunde – ein kleines, gut aufgestelltes SaaS-Team – hatte kein externes Testing veranlasst, weil eine Kundenvorgabe oder eine Aufsicht es gefordert hätte. Auslöser war ihre eigene Qualitätshaltung: einmal einen ehrlichen Blick von außen, bevor die Plattform weiter wächst.
Ihre Anforderung war explizit: kein blitzsauberer Report für einen Aktenordner. Sie wollten wissen, wo ihre Plattform wirklich verwundbar ist – bevor jemand anders es herausfindet und es teurer wird. Diese Selbst-Anforderung hat das Projekt schnell und produktiv gemacht.
- Scope
- Web + API Kundenportal, Backend, öffentliche Endpoints
- Rollen im Test
- 3 Admin · User · Anonym
- Vorheriges Testing
- intern keine externe Prüfung
- Auslöser
- Eigenmotivation Qualitätskontrolle, keine Kundenvorgabe
Realistisch, ohne Produktion zu stören.
Der Test lief auf einer Staging-Umgebung mit produktionsähnlichen Daten – gleichzeitig sollten auch echte API-Endpoints geprüft werden, ohne Daten zu zerstören oder Nutzer zu beeinträchtigen.
Business-Logic vor Standardlücken.
Klassische Scanner-Fundstellen (XSS, SQLi in offenkundig unsauberer Form) waren wenige zu erwarten. Der Wert lag in Logik-Fehlern rund um Multi-Tenancy, Rechteausweitung und Rechnungsabläufe – dort setzen echte Angreifer an.
Fix-Empfehlungen sprint-tauglich.
Ein Report mit 31 Findings ist wertlos, wenn er nicht in ein Backlog passt. Wir haben jede Fix-Empfehlung so aufbereitet, dass ein Sprint-Team sie ohne Rückfragen einplanen konnte.
Scoping & Rules of Engagement
Zwei Tage Vorlauf: Testumfang, Rollen, Nutzeraccounts, No-Go-Bereiche, Notfall- Kommunikationsweg. Alles schriftlich, damit im Verlauf keine Diskussion nötig ist.
Reconnaissance
Domain-Map, Subdomains, exponierte Endpoints, Technologien und deren Versionen identifiziert. Öffentliche Info-Leaks (Metadaten in JS-Bundles, Debug-Info in Error-Pages) mitgesammelt.
Enumeration
API-Endpoints systematisch abgeklopft. Authentifizierungs-Wege, Session-Handling, Token-Lifecycle, Rate-Limits und Fehlerbehandlung durchgespielt. Erste Angriffskandidaten priorisiert.
Exploitation
Kontrolliertes Ausnutzen: IDOR-Ketten, Privilegien-Eskalation über Tenant-Grenzen, Business-Logic-Umgehungen im Rechnungsablauf. Zwei Critical-Findings ausgekundschaftet und mit PoC verifiziert.
Zwischenbericht bei Critical-Findings
Bei beiden Critical-Findings sofortige Kommunikation an das Team – nicht warten bis zum Abschlussbericht. Erstes Fix bereits vor Testende ausgerollt und nachgeprüft.
Reporting
Management-Zusammenfassung (Priorität + Impact) plus technischer Anhang. Jedes Finding mit Reproduktionsschritten, PoC, Impact-Einschätzung und konkreter Fix-Empfehlung – verlinkt mit OWASP-Referenzen wo passend.
Retest
Sechs Wochen nach Report: gezielte Nachprüfung aller Findings. Alle Critical- und High-Findings verifiziert geschlossen. Zwei Medium-Findings bewusst offen gelassen (Trade-off dokumentiert).
Vor dem nächsten Rollout wussten sie – und das Team wusste, wo es hinlangen musste.
Von 31 Findings waren 2 als Critical und 5 als High eingestuft. Kritischster Fund: eine Kombination aus fehlender Tenant-Isolation und einem zu großzügigen Rechte-Modell in der API – zusammen ergab das einen vollständigen Cross-Tenant-Datenzugriff mit einem gültigen Nutzer-Account.
Nach dem Retest waren alle Critical- und High-Findings verifiziert geschlossen. Der Report landete nicht in einem Aktenordner, sondern direkt im Sprint-Backlog. Die verifizierten Fixes sind heute Teil der Standard-Deployment-Checks – und ein regelmäßiger Retest-Rhythmus ist etabliert.
- Findings gesamt
- 31 Critical bis Info
- Critical / High
- 2 / 5 Business-Logic dominiert
- Fix-Zeit
- 6 Wochen bis Retest
- Nach Retest offen
- 0 Critical / High
Vor dem Rollout, nicht danach.
Wenn Sie vor einem großen Release, einem Enterprise-Onboarding oder einem SOC-2-Audit stehen: Ein Erstgespräch reicht, um Umfang und Aufwand realistisch einzuschätzen. Unverbindlich.