Case Study · Software

31 Findings vor dem Enterprise-Launch.

Branche
SaaS-Anbieter
Größe
KMU
Leistung
Grey-Box-Pentest
Dauer
3 Wo. + Retest

Ein Software-Haus wollte seine SaaS-Plattform vor dem Enterprise-Rollout prüfen lassen. In drei Wochen Grey-Box-Pentest fanden wir 31 Schwachstellen – zwei davon kritisch. Nach den Fixes waren alle Critical- und High-Findings geschlossen.

Ausgangslage
Warum das Team gerade jetzt einen externen Pentest wollte.

Kein Kunde hat es verlangt. Sie wollten es selbst wissen.

Der Kunde – ein kleines, gut aufgestelltes SaaS-Team – hatte kein externes Testing veranlasst, weil eine Kundenvorgabe oder eine Aufsicht es gefordert hätte. Auslöser war ihre eigene Qualitätshaltung: einmal einen ehrlichen Blick von außen, bevor die Plattform weiter wächst.

Ihre Anforderung war explizit: kein blitzsauberer Report für einen Aktenordner. Sie wollten wissen, wo ihre Plattform wirklich verwundbar ist – bevor jemand anders es herausfindet und es teurer wird. Diese Selbst-Anforderung hat das Projekt schnell und produktiv gemacht.

Scope
Web + API Kundenportal, Backend, öffentliche Endpoints
Rollen im Test
3 Admin · User · Anonym
Vorheriges Testing
intern keine externe Prüfung
Auslöser
Eigenmotivation Qualitätskontrolle, keine Kundenvorgabe
Die drei Herausforderungen
Was das Projekt spezifisch anspruchsvoll gemacht hat.
Herausforderung 01

Realistisch, ohne Produktion zu stören.

Der Test lief auf einer Staging-Umgebung mit produktionsähnlichen Daten – gleichzeitig sollten auch echte API-Endpoints geprüft werden, ohne Daten zu zerstören oder Nutzer zu beeinträchtigen.

Herausforderung 02

Business-Logic vor Standardlücken.

Klassische Scanner-Fundstellen (XSS, SQLi in offenkundig unsauberer Form) waren wenige zu erwarten. Der Wert lag in Logik-Fehlern rund um Multi-Tenancy, Rechteausweitung und Rechnungsabläufe – dort setzen echte Angreifer an.

Herausforderung 03

Fix-Empfehlungen sprint-tauglich.

Ein Report mit 31 Findings ist wertlos, wenn er nicht in ein Backlog passt. Wir haben jede Fix-Empfehlung so aufbereitet, dass ein Sprint-Team sie ohne Rückfragen einplanen konnte.

Unser Vorgehen
Sieben Phasen – von Scoping bis Retest, insgesamt drei Wochen aktive Testphase.
01

Scoping & Rules of Engagement

Zwei Tage Vorlauf: Testumfang, Rollen, Nutzeraccounts, No-Go-Bereiche, Notfall- Kommunikationsweg. Alles schriftlich, damit im Verlauf keine Diskussion nötig ist.

02

Reconnaissance

Domain-Map, Subdomains, exponierte Endpoints, Technologien und deren Versionen identifiziert. Öffentliche Info-Leaks (Metadaten in JS-Bundles, Debug-Info in Error-Pages) mitgesammelt.

03

Enumeration

API-Endpoints systematisch abgeklopft. Authentifizierungs-Wege, Session-Handling, Token-Lifecycle, Rate-Limits und Fehlerbehandlung durchgespielt. Erste Angriffskandidaten priorisiert.

04

Exploitation

Kontrolliertes Ausnutzen: IDOR-Ketten, Privilegien-Eskalation über Tenant-Grenzen, Business-Logic-Umgehungen im Rechnungsablauf. Zwei Critical-Findings ausgekundschaftet und mit PoC verifiziert.

05

Zwischenbericht bei Critical-Findings

Bei beiden Critical-Findings sofortige Kommunikation an das Team – nicht warten bis zum Abschlussbericht. Erstes Fix bereits vor Testende ausgerollt und nachgeprüft.

06

Reporting

Management-Zusammenfassung (Priorität + Impact) plus technischer Anhang. Jedes Finding mit Reproduktionsschritten, PoC, Impact-Einschätzung und konkreter Fix-Empfehlung – verlinkt mit OWASP-Referenzen wo passend.

07

Retest

Sechs Wochen nach Report: gezielte Nachprüfung aller Findings. Alle Critical- und High-Findings verifiziert geschlossen. Zwei Medium-Findings bewusst offen gelassen (Trade-off dokumentiert).

Ergebnis
/ 31 Findings · nach Retest 0 kritisch offen

Vor dem nächsten Rollout wussten sie – und das Team wusste, wo es hinlangen musste.

Von 31 Findings waren 2 als Critical und 5 als High eingestuft. Kritischster Fund: eine Kombination aus fehlender Tenant-Isolation und einem zu großzügigen Rechte-Modell in der API – zusammen ergab das einen vollständigen Cross-Tenant-Datenzugriff mit einem gültigen Nutzer-Account.

Nach dem Retest waren alle Critical- und High-Findings verifiziert geschlossen. Der Report landete nicht in einem Aktenordner, sondern direkt im Sprint-Backlog. Die verifizierten Fixes sind heute Teil der Standard-Deployment-Checks – und ein regelmäßiger Retest-Rhythmus ist etabliert.

Findings gesamt
31 Critical bis Info
Critical / High
2 / 5 Business-Logic dominiert
Fix-Zeit
6 Wochen bis Retest
Nach Retest offen
0 Critical / High

Vor dem Rollout, nicht danach.

Wenn Sie vor einem großen Release, einem Enterprise-Onboarding oder einem SOC-2-Audit stehen: Ein Erstgespräch reicht, um Umfang und Aufwand realistisch einzuschätzen. Unverbindlich.