API-Sicherheit automatisieren.Mit 100 % Datensouveränität in Ihrem eigenen Netz.
Generieren Sie vollautomatisch tiefgehende, logische OWASP-Sicherheitstests direkt aus Ihren OpenAPI-Spezifikationen.
$ sectestx scan --spec openapi.json --mode local-llm› 47 Endpunkte klassifiziert (Admin · User · Public)› BOLA-Testfälle generiert .............. 128› Mass-Assignment-Testfälle ............. 64[RUN] GET /api/v1/vertrag/1002 Token: Nutzer A↳ 200 OK — fremde Vertragsdaten ausgeliefert[!] BOLA-FINDING · OWASP API1 · kritisch✓ Bruno-Collection → ./generated geschrieben$ ▋
Warum klassische OWASP-API-Scanning-Tools versagen
Agile Teams deployen immer schneller, während DORA, NIS2 und ISO 27001 kontinuierliche API-Sicherheit verlangen. Das erzeugt eine operative Zwickmühle.
Cloud-only-Tools erzwingen den Abfluss sensibler API-Metadaten und echter Testdaten in externe Infrastruktur — in regulierten Branchen aus Compliance-Gründen oft untersagt.
Security rutscht ans Sprint-Ende
API-Sicherheitstests werden meist als „Late-Stage Testing" aufgeschoben — das führt zu späten, teuren Funden und verzögert Releases.
Engpass bei Pentest-Experten
Tiefe logische Prüfungen wie BOLA erforderten bisher manuelle Penetration-Tester — eine knappe Ressource, nicht skalierbar auf jedes wöchentliche Release.
Klassische Automatisierung ist logik-blind
Herkömmliche Scanner scheitern prinzipbedingt an der Geschäftslogik — genau dort sitzen heute die gefährlichsten Angriffe.
Das Datenschutz-Dilemma
Reine SaaS-Lösungen erzwingen den Abfluss sensibler Daten in fremde Clouds — für KRITIS-Betreiber und Finanzdienstleister häufig ein No-Go.
Die Lösung: sectestx integriert Sicherheitstests direkt in den agilen Alltag. QA- und Entwicklungsteams spüren logische Schwachstellen kontinuierlich, frühzeitig und datensouverän auf — während die manuellen Pentests von Leanofy gezielt für die komplexesten Architekturszenarien freigespielt werden.
Weniger Cyber-Risiko an Ihren APIs — konkret für jede Rolle
APIs sind die meistangegriffene Angriffsfläche moderner Software — und damit ein zentrales Cyber-Risiko. Welchen Nutzen die automatisierten OWASP-Tests von sectestx konkret stiften, hängt von Ihrer Perspektive ab. Die vier folgenden Rollen zeigen das: Product Owner, CISO, QA-Engineer und DevOps-Team profitieren jeweils anders.
Wählen Sie Ihre Rolle
Wenn ich eine neue Version unserer geschäftskritischen APIs freigebe, möchte ich sicher sein, dass kein Angreifer fremde Kunden- oder Zählerdaten durch logische Manipulationen abgreifen kann, damit ich mit gutem Gewissen den „Deploy"-Button drücke und unserem Endkunden echten, sicheren Wert liefere.
Drei Säulen für API-Security, die Sie kontrollieren
sectestx wurde speziell für regulierte Branchen entwickelt — datensouverän, semantisch tief und ohne Vendor Lock-in.
100 % Datensouveränität — BYOK oder Local
Sie entscheiden flexibel, wie KI eingebunden wird — passend zu Ihren Compliance-Richtlinien:
- Bring Your Own Key
Cloud-LLMs (Fireworks.ai, OpenAI, Azure OpenAI) über Ihre eigenen Enterprise-Keys — ohne Modelltraining.
- Lokale KI · 100 % On-Premise
Private Sprachmodelle (z. B. Llama-3 via Ollama/vLLM) in Ihrer Infrastruktur. Kein Datenabfluss.
- No-LLM-Modus · Air-Gapped
Komplett offline und rein regelbasiert auf Basis präziser Python-Heuristiken.
Semantische Tiefe statt blinder Oberflächen-Scans
Herkömmliche Scanner prüfen nur Header und Standard-Fehler. Die Heuristiken und die semantische KI von sectestx — der SlotFiller — verstehen die Geschäftslogik Ihrer API.
Das Tool erkennt domänenspezifische Identifier und baut gezielt logische Angriffsszenarien auf:
vertrag_idzaehler_idpartner_uuidNative Desktop-App, Git-Ops & Zero Vendor Lock-in
- Native Desktop-App
Keine Docker-Infrastruktur, kein WSL, keine Linux-Kenntnisse — starten genügt. Maximale IT-Freigabe-Akzeptanz.
- Tests-as-Code
Lesbare, textbasierte Bruno-Collections (.bru) — wie Quellcode in Git versioniert und im Team geteilt.
- Zero Vendor Lock-in
Generierte Tests gehören zu 100 % Ihnen und laufen über den Open-Source-Bruno-CLI-Runner in jeder Pipeline.
Jenseits von SQL-Injection: Warum Scanner an der API-Logik scheitern
Die gefährlichsten Angriffe zielen heute auf die Geschäftslogik. Probieren Sie es selbst aus — manipulieren Sie die Objekt-ID.
Legitime Anfrage. Nutzer A greift auf seinen eigenen Vertrag zu.
Die unangefochtene Nummer 1 der API-Gefahren (früher IDOR). Ein eingeloggter Nutzer A ändert in einer legitimen Abfrage eine ID ab — von /vertrag/1001 zu /vertrag/1002 — und greift fremde Daten ab, wenn die interne Berechtigungsprüfung fehlt.
Die Anfrage sieht syntaktisch perfekt aus, der Server antwortet mit 200 OK. Da der Scanner die Geschäftslogik nicht versteht und meist nur ein Benutzerkonto testet, deckt er die Lücke nie auf.
sectestx generiert Testfälle, die gezielt mit zwei Benutzer-Rollen und Tokens arbeiten und genau diese Berechtigungsgrenze an jedem Endpunkt abprüfen.
In 4 Phasen zur sicheren API
sectestx ist kein reines Self-Service-Tool. Die Agile-Testing-Experten von Leanofy begleiten Ihr Team durch jede Phase — bis zum eigenständigen Betrieb.
Vorbereitung & Setup
- Sichere Einrichtung der nativen Desktop-App in Ihrer Testumgebung
- Konfiguration des KI-Modells: BYOK-Cloud-LLM oder lokale Offline-KI
- Einlesen und Strukturieren Ihrer OpenAPI-Spezifikationen
Automatisierte Test-Generierung
- Semantische Analyse der Business-Logik durch den SlotFiller
- Identifikation kritischer Endpunkte (Admin · User · Public)
- Vollautomatische Generierung als einsatzbereite Bruno-Collections
Analyse & Verifizierung
- Gemeinsames Review der Findings mit den Leanofy-Experten
- False-Positive-Tuning zur Minimierung von Rauschen
- Revisionssichere PDF-/HTML-Reports für CISOs und Auditoren
CI/CD-Integration & Handover
- Tests-as-Code in GitLab, GitHub Actions oder Azure DevOps
- Team-Training für den eigenständigen Langzeitbetrieb
- Flexibler Experten-Support über die Einführungsphase hinaus
In unter 10 Minuten von der Spec zum dokumentierten Finding
Der technische Deep-Dive: Installation, lokale LLM-Integration und ein echtes BOLA-Finding — Schritt für Schritt.
sectestx Deep-Dive — die Live-Demo
Deep-Dive · 10 Min
Video folgt in Kürze- 0:00Desktop-Start & lokales SetupNative App ohne Docker, LLM-Provider konfigurieren
- 1:30OpenAPI-Spec einlesen & klassifizierenEndpunkt-Crawling, BOLA-Kandidaten erkennen
- 3:30Die Hybrid-KI in AktionSlotFiller befüllt Test-Slots kontextbezogen
- 5:30Tests-as-Code & Zero Lock-inBruno-Collections, Git-Diff, bru run --env local
- 7:30Live-Ausführung & Schwachstellen-FundBOLA- und Mass-Assignment-Findings live
- 9:00False-Positive-Tuning & HTML-ReportRevisionssicherer Report mit DORA-/NIS2-Mapping
Was Security- und QA-Teams am häufigsten fragen
BOLA (Broken Object Level Authorization), auch als IDOR bekannt, beschreibt eine Schwachstelle auf Berechtigungsebene. Angreifer manipulieren Objekt-IDs in API-Anfragen, um unbefugt auf fremde Benutzer- oder Geschäftsdaten zuzugreifen.
Bereit für den Shift-Left?
Lassen Sie uns in einem unverbindlichen Erstgespräch an Ihren eigenen APIs zeigen, wie sectestx datensouverän und DSGVO-konform Sicherheit schafft.