Web Application Penetrationstest Zürich

Web App Pentest in Zürich nach OWASP, ASVS und CREST

Zürich ist der grösste Web-App-Pentest-Markt der Schweiz: Banken, Versicherer, Fintech-Startups, E-Commerce-Plattformen und SaaS-Anbieter. Unsere CREST-zertifizierten Tester prüfen Webanwendungen nach OWASP Testing Guide, OWASP ASVS und OWASP Top 10 mit CVSS-bewerteten Findings und detaillierter Remediation.

Was kostet ein Web Application Pentest in Zürich?

Ein Web Application Pentest in Zürich kostet zwischen CHF 8'000 und CHF 15'000 für eine einzelne Anwendung. Die Spanne hängt von Komplexität, Anzahl Benutzerrollen und Authentifizierungs-Tiefe ab. Eine schlanke öffentliche Webanwendung mit Standard-Authentifizierung liegt am unteren Ende. Eine komplexe Banking-Plattform mit Multi-Tenancy, OAuth 2.0, mehreren Benutzerrollen und Backoffice-Funktionalität liegt zwischen CHF 12'000 und CHF 15'000. Continuous Web Application Security mit quartalsweiser Prüfung als Retainer-Modell ist ab CHF 18'000 pro Jahr verfügbar. Re-Tests nach Remediation sind im Standard-Engagement enthalten.

Methodik und Standards

01

OWASP Testing Guide v4.2

Strukturierte Testabdeckung über alle Schichten der Webanwendung: Konfiguration, Authentifizierung, Session Management, Input Validation, Cryptography, Business Logic, Client Side.

02

OWASP ASVS Level 2

Application Security Verification Standard als Referenz-Rahmen für Sicherheitskontrollen. Level 2 für Standard-Geschäftsanwendungen, Level 3 für regulierte Banking- oder Healthcare-Anwendungen.

03

OWASP Top 10 (2021)

A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Identification & Authentication Failures, A08 Software & Data Integrity, A09 Logging & Monitoring, A10 SSRF.

04

PTES und NIST SP 800-115

Penetration Testing Execution Standard für die Engagement-Struktur, NIST SP 800-115 als übergreifender Methodik-Rahmen, kompatibel mit FINMA- und ISO-27001-Audits.

Häufige Zürcher Engagement-Typen

Banking und Wealth Management

Online-Banking-Plattformen, Trading-Frontends, Wealth-Management-Portale, Robo-Advisor. Tests berücksichtigen FINMA-Rundschreiben 2023/1, TIBER-CH-Anforderungen und PSD2-Schnittstellen für EU-Geschäft.

Versicherer

Kunden-Self-Service-Portale, Schadensmeldungs-Anwendungen, Broker-Plattformen. Tests prüfen den Schutz von Gesundheitsdaten und die Compliance mit dem Versicherungsaufsichtsgesetz (VAG).

Fintech und PayTech

Mobile-First-Banking, Crypto-Trading, Payment-Gateways. Tests fokussieren auf API-Security, OAuth 2.0 / OIDC-Implementierung, KYC/AML-Workflows und Crypto-Wallet-Integrationen.

SaaS und Enterprise Software

B2B-SaaS-Plattformen, ERP- und HR-Anwendungen, Multi-Tenant-Architekturen. Tests prüfen Tenant-Isolation, RBAC-Implementierung, SSO-Integration und Datenexport-Sicherheit.

Häufige Fragen zum Web App Pentest

Antworten auf die Fragen, die Zürcher Tech-Leads im Scoping-Gespräch am häufigsten stellen.

Wie lange dauert ein Web App Pentest?

Ein fokussierter Web Application Pentest dauert typischerweise 5 bis 10 Tage. Die exakte Dauer hängt von Komplexität, Anzahl Benutzerrollen und Authentifizierungs-Methoden ab. Banking-Plattformen mit ASVS Level 3 benötigen oft 8 bis 10 Tage, schlanke öffentliche Apps 5 bis 7 Tage.

Können Sie Tests gegen Produktions- oder Staging-Umgebungen durchführen?

Beide sind möglich. Tests gegen Staging-Umgebungen sind für aggressive Test-Szenarien sicherer (Race-Conditions, ressourcenintensive Fuzzing-Kampagnen). Tests gegen Produktion liefern realistischere Ergebnisse, müssen aber mit Wartungsfenstern und Rate-Limiting koordiniert werden.

Testen Sie auch Single-Page Applications und APIs?

Ja. Wir testen React-, Vue-, Angular- und Svelte-SPA-Frontends mit besonderem Fokus auf Client-Side-Security, JWT-Handling und State-Management. Backend-APIs (REST, GraphQL, gRPC) prüfen wir nach OWASP API Security Top 10 mit explizitem Authorization-Testing pro Endpunkt.

Wie gehen Sie mit Authentifizierungs-MFA um?

Wir benötigen typischerweise zwei Test-Accounts pro Rolle mit deaktivierter MFA oder mit App-Passwords / Test-MFA-Tokens. Alternativ können wir mit Backup-Codes arbeiten. Die MFA-Implementierung selbst (TOTP, WebAuthn, SMS) testen wir separat als Teil des Authentifizierungs-Tests.

Liefern Sie Findings auch in CWE/CVSS-Format?

Ja. Jedes Finding wird mit CVSS 3.1 Base Score, Temporal Score und CWE-ID dokumentiert. Bei Bedarf liefern wir Findings im SARIF-Format für direkte Integration in DevSecOps-Pipelines (GitHub Code Scanning, GitLab Security Dashboard, Defect Dojo).

Können Sie Continuous Pentesting für agile Teams anbieten?

Ja. Continuous Web App Security ist als Retainer-Modell verfügbar: monatliche Mini-Audits für neue Features, quartalsweise umfassende Tests, sofortige Re-Tests nach kritischen Releases. Integration mit Jira, GitHub Issues und gängigen DevSecOps-Plattformen ist Standard.

Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.

30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.

Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst

30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten

Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template

Kostenlose Analyse buchen

Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.

100% Kostenlos
Sicher & Vertraulich