Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Offensive Security

Business-Logic-Schwachstelle

Eine Business-Logic-Schwachstelle ist ein Fehler im Design oder in den Regeln einer Anwendung, der es einem Angreifer erlaubt, legitime Funktionen zu missbrauchen, um ein unbeabsichtigtes Ergebnis zu erzielen, etwa den falschen Preis zu zahlen oder einen Schritt im Workflow zu überspringen. Sie nutzt aus, wie die Anwendung funktionieren soll, und nicht einen technischen Programmierfehler wie einen fehlenden Eingabefilter.

Autor
parth-narula
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Business-Logic-Schwachstellen gehören zu den wertvollsten Bugs in der Security, weil sie nicht allein mit Tools gefunden werden können. Sie leben in der Lücke zwischen dem, was Entwickler angenommen haben, wie Nutzer sich verhalten würden, und dem, was Nutzer tatsächlich tun können. Die Anfrage sieht normal aus, der Server akzeptiert sie, und die Geschäftsregel bricht leise zusammen.

Warum es wichtig ist

Die meisten automatisierten Sicherheitstests jagen nach fehlerhaften Eingaben: einem Injection-Payload, einem Script-Tag, einer Path-Traversal-Sequenz. Logikfehler haben nichts davon. Jede Anfrage ist wohlgeformt und gültig; die Schwachstelle steckt in der Reihenfolge, im Kontext oder in der Vertrauensannahme dahinter. Genau deshalb rutschen sie an Scannern vorbei und gehören durchgängig zu den am höchsten bezahlten Funden im Bug Bounty und beim API-Security-Testing.

Für Einsteiger ist das eine gute Nachricht. Logikfehler belohnen Verständnis statt Exploit-Können. Wenn Sie begreifen, wie eine Anwendung funktionieren soll, finden Sie oft die Stelle, an der ihre Regeln gebrochen werden können, ganz ohne fortgeschrittene Payloads.

Ein klassisches Beispiel

Eine Checkout-API sendet den Artikelpreis vom Client:

checkout-request.json
JSON
{
"item": "laptop",
"quantity": 1,
"price": 500
}

Ein Hunter ändert price auf 2 und sendet die Anfrage erneut. Der Server akzeptiert sie, weil der Entwickler annahm, der Preis käme stets vom vertrauenswürdigen Frontend. Keine Injection, kein spezieller Payload, nur ein Logikfehler mit kritischer Auswirkung. Genau diese Art von Bug kann ein Einsteiger finden, wenn er die Anwendung versteht, statt mit einem unbekannten Technologie-Stack zu kämpfen.

Häufige Typen

Warum Scanner sie übersehen

Ein Scanner kann einen fehlenden Sicherheits-Header erkennen, aber er kann Ihre Geschäftsregeln nicht kennen. Nur ein Mensch, der den Workflow versteht, sieht, dass ein Einladungs-Flow Ihnen den Beitritt zur Organisation einer anderen Person erlaubt oder dass ein Gutschein unendlich oft angewendet werden kann.

Weil jede Anfrage für sich genommen legitim ist, gibt es keinen fehlerhaften Payload, den ein Tool melden könnte. Der Fehler wird erst sichtbar, wenn ein Mensch über die Absicht nachdenkt.

Wie man sie findet

Erfassen Sie jeden Workflow und greifen Sie dann die Annahmen dahinter an: Ändern Sie Werte, die der Client nicht kontrollieren sollte, senden Sie Schritte in falscher Reihenfolge, wiederholen Sie einmalige Aktionen und nutzen Sie zwei Konten, um nutzerübergreifendes Verhalten zu testen.

Business-Logic-Schwachstellen sind der Bereich, in dem menschliches Denken die Automatisierung noch immer klar schlägt, und genau deshalb bleiben sie 2026 so wertvoll und so gut für Einsteiger zugänglich.

Im Bootcamp

Wie wir Business-Logic-Schwachstelle unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Business-Logic-Schwachstelle in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive