OWASP API Security Training: REST-API sicher testen
Teste REST-APIs entlang der OWASP API Top 10 mit Postman, Proxy-Workflows, Tokens, Scopes und Fuzzing
Die wichtigsten Themen
OWASP API Top 10 in Tests übersetzen
BOLA und Zugriffskontrollen prüfen
Tokens, Scopes und Claims testen
Rate Limits und Abuse-Cases validieren
API-Fuzzing mit Proxy-Workflows
Security-Tests automatisieren
Überblick
OWASP API Security Testing verbindet Software Testing und IT-Security: Du prüfst REST-APIs systematisch entlang der OWASP API Security Top 10 und überführst Funde in nachvollziehbare Testfälle. In dieser API Security Schulung arbeitest du mit Postman, Proxy-Workflows, Tokens, Scopes, Rate-Limits und API-Fuzzing. Der Ablauf umfasst BOLA-Prüfungen, Authentifizierungsfehler, Token- und Scope-Checks sowie automatisierte Sicherheitstests in Build- und Testprozessen. Wenn du REST-APIs sicher testen willst, erhältst du praxistaugliche Vorgehensweisen für manuelle Exploration, kontrollierte Angriffssimulation und dokumentierte Reproduktion. Das Training passt gut nach der Postman-Schulung oder dem Training REST Services mit OpenAPI und Swagger. Als OWASP API Top 10 Seminar verankert es Software Testing Security in API-Testfällen, Testdaten, Rollenmodellen und CI/CD-nahen Prüfungen.
Wer hier richtig ist
- Software-Testerinnen und Software-Tester mit Aufgaben in API-Tests und Testautomatisierung
- Entwicklerinnen und Entwickler, die REST-APIs absichern und Testfälle aus Sicherheitsrisiken ableiten
- Security-Teams, die API-Schwachstellen reproduzierbar prüfen und dokumentieren
- QA-Leads, Test-Managerinnen und Test-Manager mit Verantwortung für Software Testing Security
- Für alle, die REST-APIs sicher testen und OWASP-API-Risiken in den Testprozess integrieren wollen
Das lernst du
- Planung eines Testablaufs für OWASP API Security Testing
- Sicherer Umgang mit Postman, Security-Proxy und Testdaten bei API-Prüfungen
- Reproduzierbare Nachweise für BOLA, Authentifizierungsfehler und fehlerhafte Scopes
- Security-Testfälle für Rate Limits, Tokens und API-Fuzzing erstellen
- Automatisierte Prüfungen in bestehende Test- und CI/CD-Prozesse einordnen
- Technische Befunde priorisieren und für Entwicklungs-Teams dokumentieren
Die Themen Einordnung der OWASP API Security Top 10 als Leitlinie für REST-API-Security-Tests · Testziele für funktionale API-Prüfungen, Missbrauchsszenarien und Security-Regressionstests...
OWASP API Security Top 10 und Teststrategie
- Einordnung der OWASP API Security Top 10 als Leitlinie für REST-API-Security-Tests
- Testziele für funktionale API-Prüfungen, Missbrauchsszenarien und Security-Regressionstests
- Testmatrix mit Endpunkten, HTTP-Methoden, Rollen, Datenobjekten und erwarteten Berechtigungen
- Risikobasierte Priorisierung nach Schutzbedarf, Rollenmodell und erreichbarer Angriffsfläche
Labor, Proxy-Workflow und Postman
- Postman-Collections für reproduzierbare Security-Testfälle und Benutzerrollen
- Proxy-Workflows mit Request-Interception, Repeater-Ansicht und Request-Logger
- Umgebungsvariablen für Testdaten, Basis-URLs und Authentifizierungs-Header
- Nachvollziehbare Dokumentation von Request, Response, Testkonto und Prüfergebnis
Broken Object Level Authorization (BOLA) prüfen
- BOLA-Testfälle für Objekt-IDs, Mandantenkontext und Rollenwechsel
- Berechtigungsvergleich über Testkonten mit unterschiedlichen Rollen
- Direkte Objektzugriffe in Pfaden, Query-Parametern und JSON-Bodies prüfen
- Zugriffsergebnisse anhand von Schutzbedarf und erwarteter Fehlermeldung bewerten
Authentifizierung, Tokens und Scopes
- Login-Flows, Session-Handling und Token-Lebensdauer mit gezielten Testdaten prüfen
- JWT-Checks für Claims, Ablaufzeiten, Signaturalgorithmus und Signaturvalidierung
- Scope-Tests für OAuth-2.0-gestützte API-Zugriffe
- Fehlkonfigurationen bei Rollen, Berechtigungen und Refresh-Tokens reproduzieren
Rate-Limits und API-Fuzzing für REST-APIs
- Rate-Limit-Tests für Login, Suche, Export und ressourcenintensive Endpunkte
- Missbrauchsszenarien für wiederholte Requests, Grenzwerte und Massendatenzugriffe
- API-Fuzzing für Parameter, Header, JSON-Felder und Datentypen
- Fehlerverhalten über Statuscodes, Fehlermeldungen und Antwortdaten auswerten
Automatisierte Sicherheitstests und Reporting
- Manuelle Prüfungen in automatisierbare Postman-Testsuites überführen
- Newman-Läufe und Security-Checks in CI/CD-Pipelines einbinden
- Befunde mit Reproduktionsschritten, Testdaten und technischer Auswirkung formulieren
- Korrekturhinweise für Entwicklungsteams aus dem beobachteten API-Verhalten ableiten
So arbeiten wir
Der Kurs verbindet Fachimpulse mit Hands-on-Labs an einer vorbereiteten REST-API. Jede Übung erzeugt einen nachvollziehbaren Befund, der technisch geprüft, priorisiert und in Testartefakte übertragen wird.
- Live-Demos zu OWASP-API-Angriffsmustern und Gegenprüfungen
- Geführte Übungen mit Postman, Security-Proxy und API-Fuzzing
- Review von Testfällen, Reports und Automatisierungsansätzen
Empfohlene Vorkenntnisse
- Grundkenntnisse in HTTP, JSON und REST-APIs
- Erfahrung mit Postman oder einem vergleichbaren API-Client ist hilfreich, eine Laborumgebung wird gestellt
Postman-Schulung: API-Abfragen / Testing für REST-APIs
REST APIs mit Go (Golang)
Moderne REST APIs mit Node.js, Express und MongoDB
REST APIs mit Spring Boot
REST Services mit OpenAPI und Swagger für Entwickler
Dein Fahrplan
Der erste Trainingstag legt die Testbasis für OWASP API Security Testing. Die API-Angriffsfläche wird strukturiert erfasst, anschließend folgen manuelle Prüfungen mit Postman und Security-Proxy.
- API-Endpunkte, Rollen, Datenobjekte und Schutzbedarf in einer Testmatrix erfassen
- BOLA mit Objekt-IDs, Mandantenkontext und Rollenwechseln prüfen
- Authentifizierung, Tokens, Claims und Scopes in Postman testen
- Proxy-Workflow für Request-Manipulation und Reproduzierbarkeit aufbauen
Organisatorisches
Lernformate
Unsere Seminare bieten dir maximale Flexibilität: Du kannst zwischen Live-Online und Vor Ort in unseren modernen Schulungszentren im D-A-CH Raum wählen. Beide Formate garantieren dir die gleiche hohe Qualität und interaktive Lernerfahrung.
Schulungsarten
Wir bieten dir verschiedene Schulungsarten: Offene Seminare, Firmenseminare für Teams und Inhouse-Schulungen direkt bei dir vor Ort. So findest du genau das Format, das zu deinen Bedürfnissen passt.
Uhrzeiten
09:00-16:00 Uhr
Aktuelle Software
In unseren offenen Kursen arbeiten wir mit der aktuellsten Software-Version. So lernst du direkt mit den Tools und Features, die du auch in deinem Arbeitsalltag verwendest - praxisnah und zukunftsorientiert. Bei Inhouse- und Firmenschulungen bestimmt ihr die Version.
Deine Vorteile
Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Inklusivleistungen
Deine Teilnahme beinhaltet: Schulungsmaterial, Zertifikat, Verpflegung (bei Präsenzveranstaltungen) und persönliche Betreuung durch unsere Trainer und unser Orga-Team. Alles aus einer Hand - keine versteckten Kosten.
Lernen von Experten
Unsere Trainer sind zertifizierte und erfahrene Profis mit jahrelanger Berufserfahrung. Sie vermitteln dir in den Kursen nicht nur theoretisches Wissen, sondern teilen ihre Erfahrungen aus realen Projekten und helfen dir, das Gelernte direkt in deiner täglichen Arbeit anzuwenden. Das ist kein Werbeversprechen, sondern unser Anspruch. Am besten siehst du das in unseren Bewertungen, z.B. auch bei Google.
Keine Vorkasse
Du zahlst erst nach dem Seminar. Keine Vorkasse, keine Vorauszahlung - so kannst du sicher sein, dass du nur für das bezahlst, was du auch wirklich erhalten hast. Die Rechnung erhältst du erst nach Kursbeginn.
Max. 8 Teilnehmende
Wir setzen auf kleine Gruppen, damit du die Aufmerksamkeit bekommst, die du verdienst. So haben wir mehr Zeit für deine individuellen Fragen und können gezielt auf deine Bedürfnisse eingehen.
Termine & Buchung
Vor Ort
Online
Der passende Termin ist nicht dabei? Kontaktiere uns - wir finden die passende Lösung
Inhouse-Schulungen & Firmenseminare
Inhouse-Schulungen
Buche diese Schulung als maßgeschneiderte Inhouse-Schulung für dein Unternehmen oder deine Behörde. Unsere Trainer kommen zu dir und führen die Schulung in deinen Räumlichkeiten durch.
Vorteile:
- Maßgeschneiderte Inhalte für dein Unternehmen
- Flexible Terminplanung nach euren Bedürfnissen
- Kosteneffizient bei mehreren Teilnehmern
- Schulung in vertrauter Umgebung
- Fokus auf deine spezifischen Anforderungen
Firmen-Seminare
Firmen-Seminare finden an einem unserer Schulungsstandorte statt, sind aber maßgeschneidert für dich und exklusiv für dein Team. Sie können auch online stattfinden.
Ideal für:
- Geschlossene Gruppen aus einem Unternehmen / Behörde
- Individuelle Terminplanung für dein Team
- An unseren Schulungsstandorten oder Online
- Angepasste Inhalte für deine Anforderungen
Fragen und Antworten zu OWASP API Security Training: REST-API sicher testen
Ist das Training eher für Tester oder Security-Teams geeignet?
Das Training verbindet beide Perspektiven. Wenn du aus dem Testing kommst, erhältst du Security-Testmuster für REST-APIs. Wenn du aus der IT-Security kommst, trainierst du reproduzierbare Testfälle, die QA- und Entwicklungs-Teams direkt nachvollziehen.
Welche OWASP-Themen werden behandelt?
Die OWASP API Top 10 dienen als roter Faden. Besonders intensiv behandelt werden Broken Object Level Authorization, Authentifizierungsfehler, Token- und Scope-Probleme, fehlende Rate Limits und Eingabevariationen über API-Fuzzing.
Brauche ich Erfahrung mit Postman?
Grundlegende Erfahrung mit API-Requests ist hilfreich. Wenn Postman neu für dich ist, passt vorab die Postman-Schulung. Im Training werden die sicherheitsrelevanten Workflows Schritt für Schritt im Labor eingesetzt.
Werden automatisierte Sicherheitstests behandelt?
Ja. Du überführst ausgewählte manuelle Prüfungen in wiederholbare Test-Suites, etwa über Postman-Tests und Newman-Läufe. Der Schwerpunkt liegt auf Checks, die nach API-Änderungen zuverlässig erneut ausgeführt werden.
Ist das ein offizielles OWASP-Zertifikat?
Es handelt sich um eine praxisorientierte cmt-Schulung ohne offizielle OWASP-Prüfung. Du trainierst die Anwendung der OWASP API Top 10 auf reale Testabläufe und erhältst direkt nutzbare Arbeitsmuster für dein Projekt.
Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .
Unser Qualitätsversprechen: Wissen, das in der Praxis funktioniert
Aus der Praxis für die Praxis
Schluss mit theoretischem Ballast. Wir trainieren dich für reale IT-Herausforderungen, nicht für Multiple-Choice-Tests. Unsere Trainer vermitteln dir genau das Wissen, das am nächsten Montagmorgen im Job wirklich funktioniert.
Individuell statt "Schema F"
Deine Fragen passen nicht ins Standard-Skript? Bei uns schon. Wir verzichten auf starre Lehrpläne und geben deinen konkreten Projekt-Fragen Raum. Unsere Trainer passen die Inhalte flexibel an das an, was dich und dein Team aktuell weiterbringt.
Maximale Freiheit: Remote oder vor Ort
Lerne so, wie es in deinen Alltag passt - ohne Reise-Stress und Zeitverlust. Egal ob remote, hybrid oder präsent vor Ort: Wir garantieren dir ein nahtloses und effektives Lernerlebnis, egal von wo du dich zuschaltest.
Mit Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt - und wollen, dass du es auch bist. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Über 20.000 Unternehmen und Behörden vertrauen auf uns
