Skip to content
NeuralSkills
Testen

Sicherheitstest-Schreiber

Sicherheitsfokussierte Testfaelle schreiben — Injection-Angriffe, Authentifizierungs-Bypasses und Autorisierungsluecken.

Experte Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Sicherheitsluecken werden selten durch funktionale Tests gefunden. XSS, SQL-Injection, CSRF, IDOR und Authentifizierungs-Bypasses erfordern gezielte Testfaelle, die wie ein Angreifer denken. KI kann Angriffs-Payloads und Verifikationstests generieren, fuer die ein Pentester Stunden braeuchte.

Der Prompt

Schreibe sicherheitsfokussierte Tests fuer das folgende Feature. Denke wie ein Penetrationstester — versuche die Authentifizierung zu brechen, schadhaften Input einzuschleusen und auf unautorisierte Daten zuzugreifen.

FEATURE: [Feature beschreiben]
TECH-STACK: [z.B. Express + PostgreSQL + JWT]

Sicherheitstests fuer OWASP Top 10 generieren:

1. **Injection (A03)** — SQL-, NoSQL-, Command-Injection testen
2. **Fehlerhafte Authentifizierung (A07)** — Brute-Force-Schutz, Session-Fixation, JWT-Manipulation
3. **Fehlerhafte Zugriffskontrolle (A01)** — IDOR, Privilege Escalation, Forced Browsing, CORS
4. **XSS (A03)** — Stored, Reflected und DOM-basiertes XSS
5. **Sicherheitsheader** — CSP, X-Frame-Options, HSTS verifizieren

Fuer jeden Test: Angriffs-Payload, erwartetes sicheres Verhalten und Assertion.

Beispielausgabe

describe('Sicherheit: SQL Injection', () => {
  const sqlPayloads = ["' OR '1'='1", "'; DROP TABLE users; --"];

  sqlPayloads.forEach(payload => {
    it(`soll SQL-Injection-Payload ablehnen: ${payload.slice(0, 30)}...`, async () => {
      const res = await request(app).post('/api/login')
        .send({ email: payload, password: payload });
      expect(res.status).not.toBe(200);
      expect(res.body).not.toHaveProperty('token');
    });
  });
});

describe('Sicherheit: IDOR', () => {
  it('soll Benutzer A den Zugriff auf Profil von Benutzer B verwehren', async () => {
    const res = await request(app).get('/api/users/user_B_id')
      .set('Authorization', `Bearer ${userAToken}`);
    expect(res.status).toBe(403);
  });
});

Wann verwenden

Bevor oeffentliche Features in Produktion gehen, bei Sicherheitsaudits, beim Hinzufuegen von Authentifizierung oder nach einem Sicherheitsvorfall.

Profi-Tipps

  • OWASP-Testing-Cheatsheets verwenden — KI bitten, den OWASP Testing Guide fuer umfassende Angriffsvektoren zu referenzieren.
  • Autorisierung auf jeder Ebene testen — API-Middleware, Datenbankabfragen und UI-Routen sollen unabhaengig Berechtigungen pruefen.
  • Mit DAST-Tools automatisieren — KI-generierte Tests mit OWASP ZAP oder Burp Suite ergaenzen.
  • Ein Sicherheitstest-Register fuehren — zentrale Liste aller Sicherheitstests nach OWASP-Kategorien fuer Audit-Bereitschaft.