Muss ich meine OpenAPI-Spec in eine fremde Cloud hochladen?

Nein. sectestx läuft in drei Modi: mit Ihrem eigenen Cloud-LLM-Key (Bring Your Own Key), 100% lokal mit Llama-3 via Ollama oder vLLM, oder vollständig air-gapped im No-LLM-Modus. Im On-Prem- und Air-Gap-Setup verlässt weder Ihre Spec noch ein Test-Token Ihr Netz.

Was ist der Unterschied zu Burp Suite oder ZAP?

Burp und ZAP sind Pattern-Scanner: sie finden, was sie kennen (Injection, XSS, fehlende Header). Sie können aber nicht semantisch verstehen, dass Endpoint GET /orders/{id} eine User-Beziehung impliziert — und scheitern an BOLA, BFLA und Mass Assignment. sectestx generiert solche Logik-Tests aus dem Schema und führt sie mit echten User-Tokens aus.

Welche OWASP-API-Klassen werden konkret geprüft?

Der Fokus liegt aktuell auf den Logik-getriebenen Top-Klassen: API1 (BOLA), API3 (Mass Assignment / Excessive Data Exposure) und API5 (BFLA). Authentifizierungs- und Konfigurations-Klassen werden ergänzend über die Beratungs-Schicht abgedeckt. Coverage wird laufend ausgebaut.

Wie integriere ich die Findings in meine CI/CD-Pipeline?

sectestx liefert die generierten Tests als Bruno-Collection (.bru-Dateien) — versionierbar in Git, ausführbar in Jenkins, GitHub Actions oder lokal. Sie werden zur Quality-Gate-Komponente: kritische BOLA-Findings blockieren den Build, mittlere landen als PR-Kommentar.

Ist sectestx Beta-Software — kann ich es schon produktiv nutzen?

Aktuell Beta: produktive Einsätze laufen, aber stets mit Beratungs-Schicht — keine reine Self-Service-Nutzung. Vorteil der Beta-Phase: enge Begleitung, direkter Einfluss auf die Roadmap, vergünstigte Konditionen. Zielgruppen sind QA- und DevOps-Teams sowie CISOs, insbesondere in KRITIS und Finanzdienstleistung.

Liefert sectestx audit-taugliche Berichte (ISO 27001, KRITIS)?

Ja. Reports kommen als HTML und PDF mit OWASP-Mapping, Kritikalitätsbewertung, Testschritten zur Reproduktion und Mitigation-Empfehlungen. Sie sind revisionssicher und audit-tauglich (ISO 27001, TISAX, BSI-Grundschutz-vergleichbar). Auf Wunsch unterzeichnen wir die Berichte als Berater.

API Security Testing & OWASP API Top 10 · sectestx

Ihre OpenAPI-Spec verlässt nie Ihr Netz.

Unsere Plattform sectestx.leanofy.de läuft in drei Modi: mit Ihrem eigenen Cloud-LLM-Key, 100% lokal mit Llama via Ollama/vLLM oder vollständig air-gapped im No-LLM-Modus. Wir wissen, dass eine API-Spezifikation Ihre Architektur dokumentiert — sie gehört nicht in fremde Hände. Das Tool ist aktuell in der Beta; produktive Einsätze laufen mit Beratungsbegleitung.

Die Lücke zwischen blindem DAST und teurem Pentest

Klassische Scanner suchen Patterns: SQL-Injection, XSS, fehlende Header. Sie übersehen aber die teuersten Bugs — BOLA, BFLA, Mass Assignment. Manuelle Pentests finden diese Logikfehler, kosten aber Tage und sind eine Momentaufnahme. Wir füllen die Lücke: semantische API-Security-Tests, generiert aus Ihrer OpenAPI-Spec, ausgeführt in Ihrer Pipeline, wiederholbar bei jedem Release.

UNSER WERKZEUG //

sectestx — API-Security automatisiert

Aus Ihrer OpenAPI-Spec generieren wir vollautomatisch tiefgehende, logische OWASP-Sicherheitstests — in unter 10 Minuten von der Spec zum dokumentierten Finding.

BETA

sectestx.leanofy.de

Semantische API-Pentests: keine Pattern-Matching-Oberflächen-Scans, sondern echte Logik-Tests gegen BOLA, BFLA und Mass Assignment — die teuersten OWASP-API-Klassen.

OWASP API Top 10 — Fokus auf Logik (BOLA, BFLA, Mass Assignment)
Multi-Account-Testing via User-Tokens — echte Privilege-Escalation-Probes
Bruno-Collections (.bru) als Output — versionierbar in Git, wiederausführbar in CI
HTML- und PDF-Reports — audit-tauglich, mit OWASP-Mapping und Reproduktion

100% DATENSOUVERÄNITÄT — 3 MODI

1.Bring Your Own Key — Fireworks.ai, OpenAI oder Azure mit Ihrem Enterprise-Key

2.100% On-Premise — Llama-3 via Ollama oder vLLM in Ihrem Netz

3.No-LLM-Modus — air-gapped, regelbasiert, vollständig offline

Plattform öffnen 30-Min-Demo buchen

sectestx · run --local

$ sectestx run ./openapi.yaml \
    --tokens ./users.json \
    --llm local:llama-3-8b
[09:42:11] Parsing OpenAPI spec     ... 38 endpoints
[09:42:18] Token validation        ... 3 users ok
[09:42:30] BOLA-Testfälle generiert ........ 128
[09:43:14] Mass-Assignment-Testfälle ........ 64
[09:44:02] BFLA-Probes              ........ 42

[!] BOLA-FINDING · OWASP API1 · kritisch
    GET /orders/{id}
    User-A liest Order von User-B
    CVSS 8.1 · horizontal privilege escalation

[~] MASS ASSIGNMENT · OWASP API3 · mittel
    PATCH /users/me  · Feld "role" akzeptiert

→ Bruno-Collection: out/sectestx.bru
→ Report:           out/report.pdf

MESSAGE FROM THE FOUNDER

„We wish to fulfill needs — to make clients happy.“

Sicherheit ist kein Produkt aus der Schublade. Sie ist das Ergebnis eines kontinuierlichen Dialogs zwischen Ihrem Team, unserer Erfahrung und einem Werkzeug, das beide Seiten versteht. Genau deshalb bauen wir sectestx selbst — um auf Ihre Anforderungen zu reagieren, statt sie in ein fremdes Tool zu pressen.

Wenn etwas in Ihrer Pipeline fehlt, einen Report-Typ braucht es noch nicht oder eine Compliance-Regel ist neu — sagen Sie es uns. Wir bauen es. Schnell, transparent, und ohne Roadmap-Lotterie.

Christian Ehlert

Founder · LEANOFY GmbH

Direkt sprechen

WAS WIR PRÜFEN //

Vier Säulen logik-getriebener API-Security

Wir prüfen die Klassen, die Standard-Scanner systematisch übersehen — und dort, wo es weh tut.

OWASP API1 + API5

BOLA & BFLA

Multi-Account-Tests: User-A versucht Ressourcen von User-B zu lesen, verändern, löschen. Vertikale & horizontale Privilege Escalation.

OWASP API3

Mass Assignment

Akzeptiert PATCH /users/me heimlich das Feld role? Wir generieren gezielt Mutations-Probes aus dem Schema.

100% IM EIGENEN NETZ

Datensouveränität

On-Premise mit lokalem Llama oder air-gapped im No-LLM-Modus. Ihre Spec, Ihre Tokens, Ihre Findings — nichts geht raus.

SHIFT-LEFT

CI-Integration

Output als Bruno-Collection (.bru): versionierbar in Git, wiederausführbar in jeder Pipeline. Findings als Quality-Gate.

PIPELINE-INTEGRATION //

API-Security gehört in dieselbe Pipeline wie Functional Tests

sectestx erzeugt Bruno-Collections (.bru), die sich in jeden CI-Job einbinden lassen — neben den funktionalen API-Tests, mit eigenem Quality Gate. So liefert jeder Build neben Funktion auch ein Security-Signal: BOLA-Regression entdeckt bevor der PR mergt.

Mehr zu Testautomatisierung & CI/CD

PIPELINE-STAGES

Build

Unit Tests

API-Contract-Tests (Bruno/SoapUI)

API-Security (sectestx → Bruno)

Deploy

Warum Ehlert.Consulting?

Über 18 Jahre Testerfahrung in stark regulierten Branchen (Banking, Energie, Industrie) — gepaart mit der Eigenentwicklung einer Sicherheits-Plattform, die wir selbst maintainen. Keine Black-Box-Tools, keine Wiederverkauf-Provisionen, kein Vendor-Lock-in.

Eigenes Tool (sectestx) — volle Methodik-Transparenz
EU-Hosting, DSGVO-konform, kein US-Cloud-Zwang
Beratung mit Hands-on-Pentest — keine reinen PowerPoint-Reports

Beta-Zugang sichern

Wir nehmen aktuell Beta-Kunden auf, die sectestx unter direkter Begleitung testen wollen. Engerer Kontakt, früher Einfluss auf die Roadmap, vergünstigte Konditionen für die Beta-Phase.

Gespräch vereinbaren

API Security.