OWASP-API-Scanner · Desktop-Software von Leanofy

API-Sicherheit automatisieren.Mit 100 % Datensouveränität in Ihrem eigenen Netz.

Generieren Sie vollautomatisch tiefgehende, logische OWASP-Sicherheitstests direkt aus Ihren OpenAPI-Spezifikationen.

Whitepaper zu DORA & NIS2 lesen
Konzipiert fürDORANIS2ISO 27001DSGVO
sectestx — scan runner
live
$ sectestx scan --spec openapi.json --mode local-llm
› 47 Endpunkte klassifiziert (Admin · User · Public)
› BOLA-Testfälle generiert .............. 128
› Mass-Assignment-Testfälle ............. 64
 
[RUN] GET /api/v1/vertrag/1002 Token: Nutzer A
↳ 200 OK — fremde Vertragsdaten ausgeliefert
[!] BOLA-FINDING · OWASP API1 · kritisch
 
✓ Bruno-Collection → ./generated geschrieben
$
Die Herausforderung

Warum klassische OWASP-API-Scanning-Tools versagen

Agile Teams deployen immer schneller, während DORA, NIS2 und ISO 27001 kontinuierliche API-Sicherheit verlangen. Das erzeugt eine operative Zwickmühle.

Sicherheit
teilweise
Datensouveränität
verloren
Unausgewogen

Cloud-only-Tools erzwingen den Abfluss sensibler API-Metadaten und echter Testdaten in externe Infrastruktur — in regulierten Branchen aus Compliance-Gründen oft untersagt.

Security rutscht ans Sprint-Ende

API-Sicherheitstests werden meist als „Late-Stage Testing" aufgeschoben — das führt zu späten, teuren Funden und verzögert Releases.

Engpass bei Pentest-Experten

Tiefe logische Prüfungen wie BOLA erforderten bisher manuelle Penetration-Tester — eine knappe Ressource, nicht skalierbar auf jedes wöchentliche Release.

Klassische Automatisierung ist logik-blind

Herkömmliche Scanner scheitern prinzipbedingt an der Geschäftslogik — genau dort sitzen heute die gefährlichsten Angriffe.

Das Datenschutz-Dilemma

Reine SaaS-Lösungen erzwingen den Abfluss sensibler Daten in fremde Clouds — für KRITIS-Betreiber und Finanzdienstleister häufig ein No-Go.

Shift-Left-Security

Die Lösung: sectestx integriert Sicherheitstests direkt in den agilen Alltag. QA- und Entwicklungsteams spüren logische Schwachstellen kontinuierlich, frühzeitig und datensouverän auf — während die manuellen Pentests von Leanofy gezielt für die komplexesten Architekturszenarien freigespielt werden.

Ihr Nutzen mit sectestx

Weniger Cyber-Risiko an Ihren APIs — konkret für jede Rolle

APIs sind die meistangegriffene Angriffsfläche moderner Software — und damit ein zentrales Cyber-Risiko. Welchen Nutzen die automatisierten OWASP-Tests von sectestx konkret stiften, hängt von Ihrer Perspektive ab. Die vier folgenden Rollen zeigen das: Product Owner, CISO, QA-Engineer und DevOps-Team profitieren jeweils anders.

Wählen Sie Ihre Rolle

Im Fokus: Sicher deployen — und dem Endkunden echten, geschützten Mehrwert liefern
Wenn ich eine neue Version unserer geschäftskritischen APIs freigebe, möchte ich sicher sein, dass kein Angreifer fremde Kunden- oder Zählerdaten durch logische Manipulationen abgreifen kann, damit ich mit gutem Gewissen den „Deploy"-Button drücke und unserem Endkunden echten, sicheren Wert liefere.
Das liefert sectestx für die Rolle „Product Owner"
Die Lösung

Drei Säulen für API-Security, die Sie kontrollieren

sectestx wurde speziell für regulierte Branchen entwickelt — datensouverän, semantisch tief und ohne Vendor Lock-in.

Säule 1

100 % Datensouveränität — BYOK oder Local

Sie entscheiden flexibel, wie KI eingebunden wird — passend zu Ihren Compliance-Richtlinien:

  • Bring Your Own Key

    Cloud-LLMs (Fireworks.ai, OpenAI, Azure OpenAI) über Ihre eigenen Enterprise-Keys — ohne Modelltraining.

  • Lokale KI · 100 % On-Premise

    Private Sprachmodelle (z. B. Llama-3 via Ollama/vLLM) in Ihrer Infrastruktur. Kein Datenabfluss.

  • No-LLM-Modus · Air-Gapped

    Komplett offline und rein regelbasiert auf Basis präziser Python-Heuristiken.

Säule 2

Semantische Tiefe statt blinder Oberflächen-Scans

Herkömmliche Scanner prüfen nur Header und Standard-Fehler. Die Heuristiken und die semantische KI von sectestx — der SlotFiller — verstehen die Geschäftslogik Ihrer API.

Das Tool erkennt domänenspezifische Identifier und baut gezielt logische Angriffsszenarien auf:

vertrag_idzaehler_idpartner_uuid
BOLA · API1Mass Assignment · API3BFLA · API5
Säule 3

Native Desktop-App, Git-Ops & Zero Vendor Lock-in

  • Native Desktop-App

    Keine Docker-Infrastruktur, kein WSL, keine Linux-Kenntnisse — starten genügt. Maximale IT-Freigabe-Akzeptanz.

  • Tests-as-Code

    Lesbare, textbasierte Bruno-Collections (.bru) — wie Quellcode in Git versioniert und im Team geteilt.

  • Zero Vendor Lock-in

    Generierte Tests gehören zu 100 % Ihnen und laufen über den Open-Source-Bruno-CLI-Runner in jeder Pipeline.

Didaktischer OWASP-Leitfaden

Jenseits von SQL-Injection: Warum Scanner an der API-Logik scheitern

Die gefährlichsten Angriffe zielen heute auf die Geschäftslogik. Probieren Sie es selbst aus — manipulieren Sie die Objekt-ID.

BOLA-Simulator · gp-service-demo
GET /api/v1/vertrag/1001
Authorization: Bearer token_nutzer_A
Objekt-ID manipulieren:
Eigene ID
200 OK — eigene Vertragsdaten zurückgegeben.

Legitime Anfrage. Nutzer A greift auf seinen eigenen Vertrag zu.

Die Gefahr

Die unangefochtene Nummer 1 der API-Gefahren (früher IDOR). Ein eingeloggter Nutzer A ändert in einer legitimen Abfrage eine ID ab — von /vertrag/1001 zu /vertrag/1002 — und greift fremde Daten ab, wenn die interne Berechtigungsprüfung fehlt.

Dilemma klassischer Scanner

Die Anfrage sieht syntaktisch perfekt aus, der Server antwortet mit 200 OK. Da der Scanner die Geschäftslogik nicht versteht und meist nur ein Benutzerkonto testet, deckt er die Lücke nie auf.

Wie sectestx es löst

sectestx generiert Testfälle, die gezielt mit zwei Benutzer-Rollen und Tokens arbeiten und genau diese Berechtigungsgrenze an jedem Endpunkt abprüfen.

Service & Kooperationsmodell

In 4 Phasen zur sicheren API

sectestx ist kein reines Self-Service-Tool. Die Agile-Testing-Experten von Leanofy begleiten Ihr Team durch jede Phase — bis zum eigenständigen Betrieb.

01

Vorbereitung & Setup

  • Sichere Einrichtung der nativen Desktop-App in Ihrer Testumgebung
  • Konfiguration des KI-Modells: BYOK-Cloud-LLM oder lokale Offline-KI
  • Einlesen und Strukturieren Ihrer OpenAPI-Spezifikationen
02

Automatisierte Test-Generierung

  • Semantische Analyse der Business-Logik durch den SlotFiller
  • Identifikation kritischer Endpunkte (Admin · User · Public)
  • Vollautomatische Generierung als einsatzbereite Bruno-Collections
03

Analyse & Verifizierung

  • Gemeinsames Review der Findings mit den Leanofy-Experten
  • False-Positive-Tuning zur Minimierung von Rauschen
  • Revisionssichere PDF-/HTML-Reports für CISOs und Auditoren
04

CI/CD-Integration & Handover

  • Tests-as-Code in GitLab, GitHub Actions oder Azure DevOps
  • Team-Training für den eigenständigen Langzeitbetrieb
  • Flexibler Experten-Support über die Einführungsphase hinaus
Die Live-Demo in Aktion

In unter 10 Minuten von der Spec zum dokumentierten Finding

Der technische Deep-Dive: Installation, lokale LLM-Integration und ein echtes BOLA-Finding — Schritt für Schritt.

sectestx Deep-Dive — die Live-Demo

Deep-Dive · 10 Min

Video folgt in Kürze
Kapitelmarken
  1. 0:00Desktop-Start & lokales SetupNative App ohne Docker, LLM-Provider konfigurieren
  2. 1:30OpenAPI-Spec einlesen & klassifizierenEndpunkt-Crawling, BOLA-Kandidaten erkennen
  3. 3:30Die Hybrid-KI in AktionSlotFiller befüllt Test-Slots kontextbezogen
  4. 5:30Tests-as-Code & Zero Lock-inBruno-Collections, Git-Diff, bru run --env local
  5. 7:30Live-Ausführung & Schwachstellen-FundBOLA- und Mass-Assignment-Findings live
  6. 9:00False-Positive-Tuning & HTML-ReportRevisionssicherer Report mit DORA-/NIS2-Mapping
Häufige Fragen

Was Security- und QA-Teams am häufigsten fragen

BOLA (Broken Object Level Authorization), auch als IDOR bekannt, beschreibt eine Schwachstelle auf Berechtigungsebene. Angreifer manipulieren Objekt-IDs in API-Anfragen, um unbefugt auf fremde Benutzer- oder Geschäftsdaten zuzugreifen.

Jetzt starten

Bereit für den Shift-Left?

Lassen Sie uns in einem unverbindlichen Erstgespräch an Ihren eigenen APIs zeigen, wie sectestx datensouverän und DSGVO-konform Sicherheit schafft.

Deep-Dive-Demo ansehen

🍪 Cookies & Datenschutz

Wir verwenden Cookies, um Ihnen die beste Erfahrung auf unserer Website zu bieten. Notwendige Cookies sind für die Funktion der Website erforderlich. Mit Ihrer Zustimmung verwenden wir auch Analyse-Cookies zur Verbesserung unserer Website.

Weitere Informationen finden Sie in unserer Datenschutzerklärung